POLITIQUE DE PROTECTION ET DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DE KUZEY BORU INC.

POLITIQUE DE PROTECTION ET DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DE KUZEY BORU INC.
La protection des données à caractère personnel constitue l’une des priorités majeures de Kuzey Boru Anonim Şirketi (« Kuzeyboru »). L’élément central de cet engagement, encadré par la présente « Politique », est la protection et le traitement des données personnelles de nos candidats, de nos actionnaires, de nos dirigeants, de nos visiteurs, ainsi que des employés, actionnaires et dirigeants des institutions avec lesquelles nous collaborons, et de tout tiers.
Conformément à la Constitution de la République de Turquie, toute personne dispose du droit à la protection de ses données à caractère personnel. Dans le respect de ce droit constitutionnel, Kuzeyboru s’engage à accorder la plus grande diligence à la protection des données personnelles des catégories de personnes susmentionnées, et en fait un pilier de sa politique d’entreprise.
Dans ce cadre, notre entreprise prend toutes les mesures administratives et techniques requises par la législation en vigueur pour assurer la protection des données personnelles que nous traitons.
Les principes fondamentaux que Kuzeyboru a adoptés pour le traitement des données personnelles, tels qu’énoncés dans cette Politique, sont les suivants :
– Traiter les données de manière licite, loyale et transparente,
– S’assurer que les données sont exactes et, si nécessaire, tenues à jour,
– Traiter les données pour des finalités déterminées, explicites et légitimes,
– Traiter les données de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées,
– Conserver les données pendant une durée n’excédant pas celle nécessaire au regard des finalités du traitement ou des obligations légales,
– Fournir une information claire et complète aux personnes concernées,
– Mettre en place les systèmes nécessaires pour permettre aux personnes concernées d’exercer leurs droits,
– Prendre toutes les mesures de sécurité appropriées pour la conservation des données,
– Lors du transfert de données à des tiers, se conformer strictement à la législation applicable et aux réglementations de l’Autorité de Protection des Données (équivalent du KVK Kurulu),
– Accorder une attention particulière au traitement et à la protection des catégories particulières de données (données sensibles).

ARTICLE 1 : OBJET DE LA POLITIQUE
La présente Politique a pour objectif principal d’assurer la transparence et la confiance en informant les personnes dont les données à caractère personnel sont traitées par Kuzeyboru, notamment nos clients, nos employés, nos candidats, nos actionnaires, nos dirigeants, nos visiteurs, ainsi que les employés, actionnaires et dirigeants des entités partenaires et tout autre tiers, sur les activités de traitement de données menées par Kuzeyboru en conformité avec la loi.
ARTICLE 2 : CHAMP D’APPLICATION ET DÉFINITIONS
La présente Politique s’applique à l’ensemble des données à caractère personnel de nos employés, candidats, actionnaires, dirigeants, visiteurs, ainsi que des employés, actionnaires et dirigeants des entités partenaires et de tout autre tiers, qui sont traitées par des moyens automatisés ou non, dès lors qu’elles sont contenues ou appelées à figurer dans un fichier.
Le champ d’application de cette Politique peut s’appliquer en totalité ou en partie aux catégories de personnes concernées susmentionnées.
Les termes utilisés dans cette Politique sont définis comme suit :
Destinataire : La personne physique ou morale qui reçoit communication de données à caractère personnel.
Consentement : Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Anonymisation : Le traitement de données à caractère personnel de manière à ce que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires.
Collaborateur : Le personnel de Kuzeyboru.
Support électronique : Tout environnement permettant la création, la lecture, la modification et l’écriture de données à caractère personnel par des moyens électroniques.
Support non électronique : Tout autre support écrit, imprimé, visuel, etc., en dehors des supports électroniques.
Prestataire : Toute personne physique ou morale fournissant un service à l’entreprise dans le cadre d’un contrat spécifique.
Personne concernée : La personne physique à laquelle se rapportent les données qui font l’objet du traitement.
Utilisateur autorisé : Toute personne qui, au sein de l’organisation du responsable du traitement ou agissant sous son autorité et selon ses instructions, traite des données à caractère personnel, à l’exception des personnes ou services responsables du stockage technique, de la sécurité et de la sauvegarde des données.
Destruction : L’effacement, la suppression ou l’anonymisation des données à caractère personnel.
Loi PDCP/Loi : La Loi n° 6698 sur la Protection des Données à Caractère Personnel.
Support de conservation : Tout support sur lequel des données à caractère personnel sont conservées, que le traitement soit automatisé en tout ou en partie, ou non automatisé s’il est contenu dans un fichier.
Donnée à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable.
Registre des activités de traitement : Registre que les responsables du traitement établissent en fonction de leurs processus métier, détaillant les activités de traitement, les finalités et la base juridique du traitement, les catégories de données, les destinataires, les groupes de personnes concernées, la durée de conservation maximale, les transferts prévus vers des pays tiers et les mesures de sécurité mises en place.
Traitement de données à caractère personnel : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
L’Autorité : L’Autorité de Protection des Données Personnelles (KVKK).
Catégories particulières de données (Données sensibles) : Les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, ainsi que les données relatives aux condamnations pénales et aux infractions.
Suppression périodique : L’opération d’effacement, de destruction ou d’anonymisation effectuée d’office à des intervalles réguliers, définis dans la politique de conservation et de suppression, lorsque les conditions légales de traitement des données ne sont plus réunies.
La Politique : La présente Politique de Protection et de Traitement des Données à Caractère Personnel.
Kuzeyboru/La Société : Kuzey Boru Inc.
Sous-traitant : La personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Fichier : Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés.
Responsable du traitement : La personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Système d’information du registre (VERBİS) : Le système d’information accessible via Internet, créé et géré par l’Autorité, que les responsables du traitement utilisent pour s’inscrire au Registre et effectuer les opérations y afférentes.
Le Règlement : Le Règlement sur la Suppression, la Destruction ou l’Anonymisation des Données Personnelles publié au Journal Officiel du 28 octobre 2017.

ARTICLE 3 : APPLICATION DE LA POLITIQUE ET DE LA LÉGISLATION EN VIGUEUR
Les dispositions légales en vigueur relatives au traitement et à la protection des données à caractère personnel prévalent sur toute autre disposition. En cas de conflit entre la législation applicable et la présente Politique, Kuzeyboru s’engage à appliquer les dispositions de la législation en vigueur.
La présente Politique a été conçue pour traduire en règles opérationnelles concrètes, dans le cadre des pratiques de Kuzeyboru, les principes et obligations définis par la législation pertinente.
ARTICLE 4 : ENTRÉE EN VIGUEUR
La présente Politique, établie par Kuzeyboru, entre en vigueur à la date de sa publication sur notre site internet. Toute mise à jour ou modification de la Politique entraînera une actualisation de sa date d’entrée en vigueur.
La Politique est publiée sur le site internet de Kuzeyboru et peut être consultée par toute personne concernée sur simple demande.
ARTICLE 5 : PRINCIPES RELATIFS À LA PROTECTION DES DONNÉES PERSONNELLES
Conformément à l’article 12 de la Loi PDCP, Kuzeyboru met en œuvre toutes les mesures administratives, techniques et juridiques appropriées pour prévenir le traitement illicite des données à caractère personnel, en empêcher l’accès non autorisé et en assurer la conservation sécurisée. Dans ce cadre, la société réalise tous les audits nécessaires pour garantir l’efficacité de ces mesures.
ARTICLE 6 : GARANTIR LA SÉCURITÉ DES DONNÉES PERSONNELLES
6.1 Mesures Techniques et Administratives pour Assurer la Légalité du Traitement des Données Personnelles
Kuzeyboru met en place des mesures techniques et administratives, en tenant compte des moyens technologiques disponibles et des coûts de mise en œuvre, afin d’assurer que le traitement des données à caractère personnel soit effectué en toute légalité.
– Mesures Techniques Visant à Assurer la Légalité du Traitement
Les principales mesures techniques mises en œuvre par Kuzeyboru sont les suivantes :
– Les activités de traitement de données au sein de Kuzeyboru sont supervisées par des systèmes techniques dédiés.
– L’efficacité des mesures techniques est évaluée périodiquement et fait l’objet de rapports internes dans le cadre de notre mécanisme d’audit.
– Nous employons du personnel qualifié et compétent dans les domaines techniques concernés.
– Mesures Administratives Visant à Assurer la Légalité du Traitement
Les principales mesures administratives mises en œuvre par Kuzeyboru sont les suivantes :
– Les collaborateurs sont régulièrement informés et formés sur la législation relative à la protection des données et sur les bonnes pratiques pour un traitement licite.
– L’ensemble des activités de Kuzeyboru est analysé en détail au niveau de chaque département afin d’identifier précisément les opérations de traitement de données personnelles spécifiques à leurs activités commerciales.
– Pour chaque département et chaque activité détaillée, nous déterminons les exigences spécifiques à mettre en place pour garantir la conformité avec les conditions de traitement édictées par la Loi n° 6698.
– Nous menons des actions de sensibilisation au sein de nos départements et définissons des règles d’application claires. La supervision et la continuité de ces pratiques sont assurées par des mesures administratives mises en œuvre via des politiques internes et des formations.
– Les contrats et documents régissant la relation juridique entre Kuzeyboru et ses collaborateurs incluent des clauses strictes interdisant le traitement, la divulgation ou l’utilisation des données personnelles en dehors des instructions de Kuzeyboru et des exceptions légales. Une sensibilisation continue des collaborateurs est assurée et des audits sont réalisés pour veiller au respect de ces obligations.

6.2 Mesures Techniques et Administratives pour Prévenir l’Accès Non Autorisé aux Données Personnelles
Kuzeyboru met en œuvre des mesures techniques et administratives, proportionnées à la nature des données à protéger, aux moyens technologiques disponibles et aux coûts de mise en œuvre, afin de prévenir toute divulgation, accès, transfert par négligence ou non autorisé, ainsi que toute autre forme d’accès illicite aux données à caractère personnel.
– Mesures Techniques Visant à Prévenir l’Accès Non Autorisé
Les principales mesures techniques mises en œuvre par Kuzeyboru sont les suivantes :
– Nous adoptons des mesures techniques en adéquation avec les évolutions technologiques, que nous mettons à jour et renouvelons périodiquement.
– Des solutions techniques de gestion des accès et des habilitations, spécifiques à chaque département, sont déployées.
– L’efficacité des mesures techniques est évaluée périodiquement et fait l’objet de rapports dans le cadre de notre mécanisme d’audit interne. Les risques identifiés sont réévalués afin de développer les solutions technologiques appropriées.
– Des logiciels et des équipements matériels, incluant des systèmes de protection antivirus et des pare-feux, sont installés et maintenus.
– Nous employons du personnel qualifié et expert dans les domaines techniques de la sécurité des données.
– Mesures Administratives Visant à Prévenir l’Accès Non Autorisé
Les principales mesures administratives mises en œuvre par Kuzeyboru sont les suivantes :
– Les collaborateurs sont formés aux mesures techniques à appliquer pour prévenir l’accès non autorisé aux données à caractère personnel.
– Des processus de gestion des accès et des habilitations aux données personnelles, propres à chaque département, sont conçus et appliqués au sein de Kuzeyboru.
– Les collaborateurs sont formellement informés de leur interdiction de divulguer les données personnelles dont ils ont connaissance en violation des dispositions de la Loi PDCP, ou de les utiliser à des fins autres que celles pour lesquelles elles ont été collectées. Il leur est également notifié que cette obligation de confidentialité perdure après la fin de leur contrat de travail, et des engagements écrits sont requis de leur part à cet effet.
– Les contrats conclus avec les tiers auxquels Kuzeyboru transfère légalement des données personnelles incluent des clauses spécifiques. Celles-ci exigent que ces tiers prennent les mesures de sécurité nécessaires pour protéger les données et garantissent le respect de ces mesures au sein de leur propre organisation.

6.3 Conservation des Données Personnelles dans des Environnements Sécurisés
Kuzeyboru met en œuvre les mesures techniques et administratives appropriées, en tenant compte des moyens technologiques disponibles et des coûts de mise en œuvre, afin d’assurer la conservation des données à caractère personnel dans des environnements sécurisés et de prévenir toute destruction, perte ou altération à des fins illicites.
– Mesures Techniques pour la Conservation Sécurisée des Données
Les principales mesures techniques mises en œuvre par Kuzeyboru pour la conservation sécurisée des données sont les suivantes :
– Nous utilisons des systèmes à la pointe de la technologie pour garantir que les données à caractère personnel sont conservées dans des environnements sécurisés.
– Nous employons du personnel spécialisé et expert dans les domaines techniques pertinents.
– Des systèmes de sécurité technique sont déployés pour protéger les zones de stockage. L’efficacité de ces mesures est évaluée périodiquement dans le cadre de nos audits internes et fait l’objet de rapports. Les risques identifiés sont réévalués afin de mettre en œuvre les solutions technologiques appropriées.
– Des programmes de sauvegarde, conformes aux exigences légales, sont utilisés pour garantir l’intégrité et la disponibilité des données à caractère personnel.
– Mesures Administratives pour la Conservation Sécurisée des Données
Les principales mesures administratives mises en œuvre par Kuzeyboru pour la conservation sécurisée des données sont les suivantes :
– Les collaborateurs sont formés aux bonnes pratiques et aux procédures visant à assurer la conservation sécurisée des données à caractère personnel.
– Lorsque Kuzeyboru fait appel à un prestataire externe pour des services techniques liés à la conservation des données, les contrats conclus avec ces entreprises incluent des clauses spécifiques. Celles-ci exigent que les destinataires des données, auxquels les données sont légalement transférées, mettent en place les mesures de sécurité nécessaires à leur protection et garantissent le respect de ces mesures au sein de leur propre organisation.

6.4 Audit des Mesures de Protection des Données Personnelles
Conformément à l’article 12 de la Loi PDCP, Kuzeyboru réalise ou fait réaliser les audits nécessaires au sein de sa propre organisation. Les résultats de ces audits sont communiqués au département compétent dans le cadre de nos procédures internes, et les actions requises sont mises en œuvre pour l’amélioration continue des mesures de protection.

6.5 Mesures à Prendre en Cas de Violation de Données à Caractère Personnel
Conformément à l’article 12 de la Loi PDCP, en cas de violation de données à caractère personnel entraînant l’accès à celles-ci par des tiers non autorisés par des moyens illicites, Kuzeyboru s’engage à notifier cette violation à la personne concernée et à l’Autorité de Protection des Données (KVK Kurulu) dans les meilleurs délais.
Si l’Autorité de Protection des Données l’estime nécessaire, cette violation pourra être rendue publique sur son site internet ou par tout autre moyen approprié.

ARTICLE 7 : EXERCICE DES DROITS DE LA PERSONNE CONCERNÉE ; MISE EN PLACE DE CANAUX DE COMMUNICATION AVEC KUZEYBORU ET ÉVALUATION DES DEMANDES
Conformément à l’article 13 de la Loi PDCP, Kuzeyboru met en place les canaux, procédures internes et dispositions administratives et techniques nécessaires pour garantir l’évaluation des droits des personnes concernées et leur fournir l’information requise. Lorsque les personnes concernées adressent par écrit à Kuzeyboru leurs demandes relatives aux droits énumérés ci-dessous, Kuzeyboru s’engage à traiter la demande gratuitement dans les meilleurs délais, et au plus tard dans un délai de trente jours, selon sa nature. Toutefois, si le traitement de la demande engendre un coût supplémentaire, Kuzeyboru se réserve le droit de percevoir les frais prévus par le barème fixé par l’Autorité de Protection des Données (KVK Kurulu). Les personnes concernées disposent des droits suivants :
– Le droit de savoir si leurs données à caractère personnel sont traitées (droit d’accès),
– Si leurs données ont été traitées, le droit de demander des informations à ce sujet,
– Le droit de connaître la finalité du traitement et de savoir si les données sont utilisées conformément à cette finalité,
– Le droit de connaître les tiers auxquels leurs données sont transférées, en Turquie ou à l’étranger,
– Le droit de demander la rectification de leurs données en cas de traitement inexact ou incomplet, et de demander que cette rectification soit notifiée aux tiers destinataires (droit de rectification),
– Le droit de demander l’effacement ou la destruction de leurs données lorsque les raisons de leur traitement ont disparu, même si elles ont été traitées légalement, et de demander que cette opération soit notifiée aux tiers destinataires (droit à l’effacement ou « droit à l’oubli »),
– Le droit de s’opposer à une décision produisant des effets juridiques les concernant, prise exclusivement sur la base d’un traitement automatisé,
– Le droit de demander réparation en cas de préjudice subi du fait d’un traitement illicite de leurs données à caractère personnel.
Des informations plus détaillées concernant les droits des personnes concernées sont disponibles dans la suite de la présente Politique.

ARTICLE 8 : PROTECTION DES CATÉGORIES PARTICULIÈRES DE DONNÉES (DONNÉES SENSIBLES)
La Loi PDCP accorde une protection renforcée à certaines catégories de données à caractère personnel, en raison du risque élevé de préjudice ou de discrimination que leur traitement illicite pourrait engendrer pour les personnes concernées.
Ces données dites « sensibles » incluent : l’origine raciale ou ethnique, les opinions politiques, les convictions philosophiques ou religieuses, l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle, et les données relatives aux condamnations pénales et aux infractions.
Kuzeyboru traite avec la plus grande sensibilité la protection des données à caractère personnel qualifiées de « catégories particulières » par la Loi PDCP et traitées en conformité avec celle-ci. À ce titre, les mesures techniques et administratives mises en œuvre par Kuzeyboru pour la protection des données personnelles sont appliquées avec une diligence particulière pour ces données sensibles, et des audits internes spécifiques sont réalisés pour en garantir l’efficacité.
Des informations plus détaillées sur le traitement des catégories particulières de données sont disponibles dans la suite de la présente Politique.

ARTICLE 9 : SENSIBILISATION ET CONTRÔLE DES DÉPARTEMENTS OPÉRATIONNELS EN MATIÈRE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES
Kuzeyboru assure l’organisation des formations nécessaires à l’attention de ses départements opérationnels, afin de renforcer la sensibilisation à la prévention du traitement illicite des données, de l’accès non autorisé et à la garantie de la conservation sécurisée des données.
Des systèmes sont mis en place pour développer une culture de la protection des données personnelles parmi les collaborateurs actuels des départements de Kuzeyboru ainsi que pour les nouveaux arrivants. Si nécessaire, nous faisons appel à des experts externes pour renforcer cette démarche.

ARTICLE 10 : SENSIBILISATION ET CONTRÔLE DES PARTENAIRES COMMERCIAUX ET FOURNISSEURS EN MATIÈRE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES
Kuzeyboru assure l’organisation de formations et de séminaires à l’attention de ses partenaires commerciaux, afin de renforcer la sensibilisation à la prévention du traitement illicite des données à caractère personnel, de l’accès non autorisé et à la garantie de la conservation sécurisée des données.
Les formations destinées aux partenaires commerciaux de Kuzeyboru sont renouvelées périodiquement. Des systèmes sont mis en place pour développer une culture de la protection des données personnelles parmi les collaborateurs actuels et les nouveaux arrivants chez nos partenaires. Si nécessaire, nous faisons appel à des experts externes pour renforcer cette démarche.
Les résultats des actions de formation visant à accroître la sensibilisation de nos partenaires commerciaux en matière de protection et de traitement des données font l’objet d’un rapport à la direction de la holding. À cet égard, Kuzeyboru évalue la participation aux formations, séminaires et sessions d’information, et réalise ou fait réaliser les audits nécessaires. Kuzeyboru s’engage à mettre à jour et à renouveler ses programmes de formation en parallèle avec les évolutions de la législation en vigueur.

ARTICLE 11 : PRINCIPES RELATIFS AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Conformément à l’article 20 de la Constitution et à l’article 4 de la Loi PDCP, Kuzeyboru s’engage à ce que toutes ses activités de traitement de données à caractère personnel soient menées de manière licite, loyale et transparente. Les données sont traitées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités. Le traitement est adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Kuzeyboru conserve les données personnelles pour la durée prévue par la loi ou celle nécessaire à la réalisation de la finalité du traitement.
Conformément aux articles 20 de la Constitution et 5 de la Loi PDCP, Kuzeyboru ne traite les données à caractère personnel que si le traitement repose sur l’une ou plusieurs des bases légales prévues à l’article 5 de ladite loi.
Conformément aux articles 20 de la Constitution et 10 de la Loi PDCP, Kuzeyboru s’assure d’informer les personnes concernées et de répondre à leurs demandes d’information en fournissant les renseignements nécessaires.
Conformément à l’article 6 de la Loi PDCP, Kuzeyboru agit en stricte conformité avec les réglementations spécifiques prévues pour le traitement des catégories particulières de données (données sensibles).
Conformément aux articles 8 et 9 de la Loi PDCP, Kuzeyboru respecte scrupuleusement les réglementations relatives au transfert de données à caractère personnel, telles que définies par la loi et précisées par l’Autorité de Protection des Données (KVK Kurulu).

ARTICLE 12 : TRAITEMENT DES DONNÉES PERSONNELLES CONFORMÉMENT AUX PRINCIPES LÉGAUX
12.1 Traitement Licite, Loyal et Transparent
Kuzeyboru s’engage à traiter les données à caractère personnel conformément aux principes établis par la loi, ainsi qu’aux règles de confiance et de loyauté. Dans ce cadre, Kuzeyboru respecte le principe de proportionnalité et s’interdit d’utiliser les données personnelles à des fins autres que celles pour lesquelles elles ont été collectées.

12.2 Exactitude des Données et Mise à Jour
Kuzeyboru veille à ce que les données à caractère personnel traitées soient exactes et, si nécessaire, tenues à jour, en prenant en considération les droits fondamentaux des personnes concernées et ses propres intérêts légitimes. Toutes les mesures raisonnables sont prises à cet effet.

12.3 Finalités Déterminées, Explicites et Légitimes
Kuzeyboru définit de manière claire, précise et légitime les finalités du traitement des données à caractère personnel. Le traitement des données est effectué en lien direct avec les services fournis et est strictement limité à ce qui est nécessaire pour ces services.

12.4 Adéquation, Pertinence et Limitation à la Finalité (Minimisation des données)
Kuzeyboru traite les données à caractère personnel de manière adéquate et pertinente pour la réalisation des finalités déterminées. La société s’abstient de traiter des données qui ne sont pas liées à la réalisation de la finalité ou qui ne sont pas nécessaires. Par exemple, aucun traitement de données n’est effectué en prévision de besoins futurs hypothétiques.

12.5 Limitation de la Conservation
Kuzeyboru ne conserve les données à caractère personnel que pour la durée spécifiée par la législation applicable ou pour celle strictement nécessaire à la réalisation de la finalité du traitement. À ce titre, Kuzeyboru vérifie en premier lieu si une durée de conservation légale est imposée. Si tel est le cas, elle s’y conforme. Dans le cas contraire, elle conserve les données uniquement pour la durée requise par la finalité du traitement. À l’expiration de cette durée, ou si les raisons justifiant le traitement disparaissent, les données sont supprimées, détruites ou anonymisées par Kuzeyboru. Aucune donnée n’est conservée par Kuzeyboru en prévision d’une éventuelle utilisation future. Des informations plus détaillées à ce sujet sont disponibles dans la suite de la présente Politique.

ARTICLE 13 : TRAITEMENT FONDÉ SUR LES BASES LÉGALES PRÉVUES À L’ARTICLE 5 DE LA LOI PDCP ET LIMITÉ À CELLES-CI
La protection des données à caractère personnel est un droit constitutionnel. Les droits et libertés fondamentaux ne peuvent être restreints que par la loi et pour les motifs spécifiés dans les articles pertinents de la Constitution, sans porter atteinte à leur substance. Conformément au troisième alinéa de l’article 20 de la Constitution, les données à caractère personnel ne peuvent être traitées que dans les cas prévus par la loi ou avec le consentement explicite de la personne concernée. C’est dans ce respect et en conformité avec la Constitution que Kuzeyboru s’engage à traiter les données à caractère personnel, en se fondant soit sur le consentement explicite de la personne, soit sur l’une des autres bases légales prévues par la loi. Des informations plus détaillées à ce sujet sont disponibles dans la suite de la présente Politique.

ARTICLE 14 : INFORMATION DE LA PERSONNE CONCERNÉE
Conformément à l’article 10 de la Loi PDCP, Kuzeyboru s’assure d’informer les personnes concernées au moment de la collecte de leurs données à caractère personnel. Dans ce cadre, Kuzeyboru fournit une information claire sur les finalités du traitement, les catégories de destinataires auxquels les données sont susceptibles d’être communiquées et les finalités de ces transferts, la méthode et la base juridique de la collecte, ainsi que sur les droits dont dispose la personne concernée. Des informations plus détaillées à ce sujet sont disponibles dans la suite de la présente Politique.
L’article 20 de la Constitution énonce que toute personne a le droit d’être informée des données à caractère personnel la concernant. Conformément à ce principe, l’article 11 de la Loi PDCP énumère le « droit de demander des informations » parmi les droits de la personne concernée. C’est pourquoi Kuzeyboru, en application de l’article 20 de la Constitution et de l’article 11 de la Loi PDCP, s’engage à fournir les informations requises à toute personne concernée qui en fait la demande. Des informations plus détaillées à ce sujet sont disponibles dans la suite de la présente Politique.

ARTICLE 15 : TRAITEMENT DES CATÉGORIES PARTICULIÈRES DE DONNÉES (DONNÉES SENSIBLES)
Pour le traitement des données à caractère personnel qualifiées de « catégories particulières » par la Loi PDCP, Kuzeyboru se conforme scrupuleusement aux réglementations spécifiques prévues par ladite loi.
L’article 6 de la Loi PDCP définit comme « catégories particulières » certaines données personnelles dont le traitement illicite est susceptible d’engendrer un risque élevé de préjudice ou de discrimination. Ces données incluent : l’origine raciale ou ethnique, les opinions politiques, les convictions philosophiques ou religieuses, l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle, et les données relatives aux condamnations pénales et aux infractions.
Conformément à la Loi PDCP, Kuzeyboru ne traite ces données sensibles que dans les conditions suivantes, et sous réserve de la mise en place des mesures de sécurité adéquates définies par l’Autorité de Protection des Données (KVK Kurulu) :
– Si la personne concernée a donné son consentement explicite au traitement de ces données pour une ou plusieurs finalités spécifiques, ou
– En l’absence de consentement explicite de la personne concernée ;
– Le traitement des données sensibles (à l’exception des données de santé et de vie sexuelle) est nécessaire pour les motifs prévus par la loi.
– Le traitement des données relatives à la santé et à la vie sexuelle est effectué exclusivement à des fins de médecine préventive, de diagnostics médicaux, de prise en charge sanitaire ou sociale, ou de gestion des systèmes et services de santé, par des professionnels de la santé soumis à une obligation de secret professionnel ou par une autre personne également soumise à une obligation de confidentialité.

ARTICLE 16 : TRANSFERT DES DONNÉES À CARACTÈRE PERSONNEL
Dans le cadre de ses finalités licites de traitement, et en mettant en œuvre les mesures de sécurité appropriées, Kuzeyboru peut être amenée à transférer les données à caractère personnel et les catégories particulières de données de la personne concernée à des tiers (tels que des sociétés tierces, des partenaires commerciaux ou des personnes physiques). À cet égard, Kuzeyboru agit en stricte conformité avec les réglementations prévues à l’article 8 de la Loi PDCP. Des informations plus détaillées sont disponibles dans la suite de la présente Politique.

16.1 Transfert des Données à Caractère Personnel
Conformément à ses finalités légitimes et licites, Kuzeyboru peut transférer des données à caractère personnel à des tiers, à condition que le transfert repose sur l’une ou plusieurs des bases légales suivantes, prévues à l’article 5 de la Loi PDCP :
– La personne concernée a donné son consentement explicite au transfert ;
– Le transfert est expressément prévu par la loi ;
– Le transfert est nécessaire à la sauvegarde de la vie ou de l’intégrité physique de la personne concernée ou d’une autre personne, et que la personne concernée est dans l’incapacité physique ou juridique de donner son consentement ;
– Le transfert de données appartenant aux parties d’un contrat est nécessaire et directement lié à la conclusion ou à l’exécution de ce contrat ;
– Le transfert est nécessaire au respect d’une obligation légale à laquelle Kuzeyboru est soumise ;
– Les données ont été manifestement rendues publiques par la personne concernée elle-même ;
– Le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
– Le transfert est nécessaire aux fins des intérêts légitimes poursuivis par Kuzeyboru, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

16.2 Transfert des Catégories Particulières de Données (Données Sensibles)
En agissant avec la diligence requise, en mettant en œuvre les mesures de sécurité nécessaires et les garanties appropriées prévues par l’Autorité de Protection des Données (KVK Kurulu), Kuzeyboru peut transférer les données sensibles de la personne concernée à des tiers dans les cas suivants, conformément à ses finalités légitimes et licites.
– Si la personne concernée a donné son consentement explicite à ce transfert, ou
– En l’absence de consentement explicite de la personne concernée ;
– Le transfert de données sensibles (autres que celles relatives à la santé et à la vie sexuelle) est autorisé par la loi.
– Le transfert de données relatives à la santé et à la vie sexuelle est effectué exclusivement à des fins de protection de la santé publique, de médecine préventive, de diagnostics médicaux, de prise en charge sanitaire ou sociale, ou de gestion des systèmes et services de santé, par des professionnels de la santé soumis à une obligation de secret professionnel ou par une autre personne également soumise à une obligation de confidentialité.

ARTICLE 17 : TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL HORS DE TURQUIE
Dans le cadre de ses finalités licites de traitement et en mettant en œuvre les mesures de sécurité appropriées, Kuzeyboru peut transférer des données à caractère personnel et des catégories particulières de données à des tiers situés à l’étranger. Ces transferts sont effectués par Kuzeyboru soit vers des pays étrangers reconnus par l’Autorité de Protection des Données (KVK Kurulu) comme assurant un niveau de protection adéquat (« Pays Tiers avec une Protection Adéquate »), soit, en l’absence d’une telle décision, vers des pays tiers où les responsables du traitement, en Turquie et dans le pays concerné, s’engagent par écrit à fournir des garanties appropriées et où le transfert est autorisé par l’Autorité (« Pays Tiers avec des Garanties Appropriées »), notamment par le biais de clauses contractuelles types ou de règles d’entreprise contraignantes. À cet égard, Kuzeyboru agit en stricte conformité avec les dispositions de l’article 9 de la Loi PDCP et du Règlement relatif aux procédures de transfert de données à l’étranger. Des informations plus détaillées sont disponibles dans la suite de la présente Politique.

17.1 Transfert de Données à Caractère Personnel à l’Étranger
Conformément à ses finalités légitimes et licites, Kuzeyboru peut transférer des données à caractère personnel vers des pays tiers offrant une protection adéquate ou des garanties appropriées, y compris par le biais de clauses contractuelles types ou de règles d’entreprise contraignantes, si la personne concernée a donné son consentement explicite, ou, en l’absence de consentement, si l’une des conditions suivantes est remplie :
– Le transfert est expressément prévu par la loi ;
– Le transfert est nécessaire à la sauvegarde de la vie ou de l’intégrité physique de la personne concernée ou d’une autre personne, et que la personne concernée est dans l’incapacité physique ou juridique de donner son consentement ;
– Le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et Kuzeyboru, ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée ;
– Le transfert est nécessaire au respect d’une obligation légale à laquelle Kuzeyboru est soumise ;
– Les données ont été manifestement rendues publiques par la personne concernée elle-même ;
– Le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
– Le transfert est nécessaire aux fins des intérêts légitimes poursuivis par Kuzeyboru, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

17.2 Transfert de Catégories Particulières de Données (Données Sensibles) à l’Étranger
En agissant avec la diligence requise, en mettant en œuvre les mesures de sécurité nécessaires et les garanties appropriées prévues par l’Autorité de Protection des Données, Kuzeyboru peut transférer des données sensibles à des tiers situés dans des pays offrant une protection adéquate ou des garanties appropriées, y compris par le biais de clauses contractuelles types ou de règles d’entreprise contraignantes, dans les cas suivants :
– Si la personne concernée a donné son consentement explicite à ce transfert, ou
– En l’absence de consentement explicite de la personne concernée ;
– Le transfert de données sensibles (autres que celles relatives à la santé et à la vie sexuelle) est autorisé par la loi.
– Le transfert de données relatives à la santé et à la vie sexuelle est effectué exclusivement à des fins de médecine préventive, de diagnostics médicaux, de prise en charge sanitaire ou sociale, ou de gestion des systèmes et services de santé, par des professionnels de la santé soumis à une obligation de secret professionnel ou par une autre personne également soumise à une obligation de confidentialité.

ARTICLE 18 : CATÉGORISATION DES DONNÉES À CARACTÈRE PERSONNEL, FINALITÉS DU TRAITEMENT ET DURÉES DE CONSERVATION
Conformément à son obligation d’information prévue à l’article 10 de la Loi PDCP, Kuzeyboru informe les personnes concernées des catégories de données à caractère personnel traitées, des finalités pour lesquelles ces données sont traitées, ainsi que de leurs durées de conservation respectives.

ARTICLE 19 : CATÉGORISATION DES DONNÉES À CARACTÈRE PERSONNEL
Au sein de Kuzeyboru, et conformément à notre obligation d’information prévue à l’article 10 de la Loi PDCP, nous traitons les catégories de données à caractère personnel spécifiées ci-dessous. Ce traitement est effectué dans le cadre de nos finalités légitimes et licites, en se fondant sur une ou plusieurs des bases légales énoncées à l’article 5 de la Loi PDCP. Nous nous conformons strictement aux principes généraux du traitement des données, notamment ceux définis à l’article 4, ainsi qu’à l’ensemble des obligations découlant de la Loi PDCP. Le traitement est limité aux personnes concernées relevant du champ d’application de la présente Politique, dont les relations avec les catégories de données sont également précisées ci-après.

DONNÉES D’IDENTIFICATION : Toute information permettant d’identifier directement ou indirectement une personne physique, traitée de manière automatisée ou non (si elle est contenue dans un fichier), telle que les informations figurant sur le permis de conduire, la carte d’identité, le passeport, le livret de famille, etc.

DONNÉES DE CONTACT : Informations permettant de communiquer avec une personne physique identifiée ou identifiable, telles que le numéro de téléphone, l’adresse postale et l’adresse électronique, traitées de manière automatisée ou non.

INFORMATIONS CLIENT : Données relatives à une personne physique identifiée ou identifiable, collectées ou générées dans le cadre de nos activités commerciales et des opérations menées par nos départements.

DONNÉES DE SÉCURITÉ DES LOCAUX : Données à caractère personnel relatives aux enregistrements et documents collectés lors de l’accès et du séjour dans nos locaux physiques, et contenues dans un système de fichiers.

INFORMATIONS DE SÉCURITÉ DES TRANSACTIONS : Données à caractère personnel traitées afin de garantir notre sécurité technique, administrative, juridique et commerciale dans la conduite de nos activités.

INFORMATIONS DE GESTION DES RISQUES : Données utilisées pour gérer nos risques commerciaux, techniques et administratifs, traitées conformément aux pratiques juridiques et commerciales reconnues et au principe de loyauté.

DONNÉES FINANCIÈRES : Données à caractère personnel relatives à toute information, document ou enregistrement reflétant la situation financière découlant de la relation juridique établie entre Kuzeyboru et la personne concernée.

DONNÉES PROFESSIONNELLES : Toute donnée à caractère personnel traitée en vue d’établir les droits professionnels de nos collaborateurs ou de toute personne physique entretenant une relation de travail avec Kuzeyboru.

INFORMATIONS SUR LES CANDIDATS : Données à caractère personnel concernant les personnes ayant postulé à un emploi chez Kuzeyboru, ou considérées comme des candidats potentiels conformément aux usages commerciaux et aux besoins en ressources humaines de la Société.

DONNÉES D’ACTIVITÉ PROFESSIONNELLE : Données à caractère personnel relatives à toute transaction ou activité réalisée par nos collaborateurs ou toute personne physique ayant une relation de travail avec Kuzeyboru, dans le cadre de leurs fonctions.

DONNÉES DE PERFORMANCE ET DE DÉVELOPPEMENT DE CARRIÈRE : Données traitées dans le but d’évaluer la performance de nos collaborateurs et de planifier leur développement de carrière, conformément à la politique des ressources humaines de Kuzeyboru.

INFORMATIONS SUR LES AVANTAGES SOCIAUX : Données à caractère personnel traitées pour la planification et le suivi des droits aux avantages sociaux et bénéfices que nous offrons à nos collaborateurs et à d’autres personnes physiques ayant une relation de travail avec Kuzeyboru.

DONNÉES RELATIVES AUX ACTIONS EN JUSTICE : Données à caractère personnel traitées pour la constatation, l’exercice ou la défense de nos droits et créances, l’exécution de nos obligations légales et la conformité avec les politiques de Kuzeyboru.

INFORMATIONS D’AUDIT ET D’INSPECTION : Données à caractère personnel traitées dans le cadre du respect des obligations légales de Kuzeyboru et de la conformité à ses politiques internes.

CATÉGORIES PARTICULIÈRES DE DONNÉES (DONNÉES SENSIBLES) : Données telles que définies à l’article 6 de la Loi n° 6698, traitées de manière automatisée ou non.

DONNÉES DE GESTION DES DEMANDES ET PLAINTES : Données à caractère personnel relatives à la réception et à l’évaluation de toute demande ou plainte adressée à Kuzeyboru.

ARTICLE 20 : FINALITÉS DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Conformément à la catégorisation établie par Kuzeyboru, les finalités principales du traitement des données à caractère personnel sont les suivantes :
– Mise en œuvre par nos départements opérationnels des actions nécessaires à la conduite des activités commerciales de Kuzeyboru et gestion des processus métier afférents.
– Planification et exécution des stratégies commerciales et d’entreprise de Kuzeyboru.
– Mise en œuvre par nos départements des actions nécessaires pour permettre aux personnes concernées de bénéficier des produits et services offerts par Kuzeyboru, et gestion des processus correspondants.
– Planification et exécution des politiques et des processus de ressources humaines de Kuzeyboru.
– Garantie de la sécurité juridique, technique et commerciale des personnes concernées entretenant une relation d’affaires avec Kuzeyboru.

Les finalités de traitement détaillées, relevant des finalités principales ci-dessus, incluent :
– Gestion Événementielle
– Planification et Exécution des Activités de Recherche et Développement
– Planification et Exécution des Activités Opérationnelles
– Planification et Exécution des Activités de Communication Institutionnelle
– Planification et Exécution des Processus de Sécurité des Systèmes d’Information
– Mise en Place et Gestion de l’Infrastructure Informatique
– Planification et Exécution des Droits d’Accès aux Informations et aux Installations pour les Partenaires et Fournisseurs
– Planification et Exécution des Avantages Sociaux pour les Employés des Partenaires et Fournisseurs
– Suivi des Opérations Financières et Comptables
– Planification et Exécution des Activités Logistiques
– Gestion des Relations avec les Partenaires et Fournisseurs
– Activités relatives à l’Évaluation des Risques Financiers des Clients
– Planification et Exécution des Processus de Gestion de la Relation Client (CRM)
– Suivi des Processus Contractuels et/ou des Actions en Justice
– Suivi des Demandes et/ou Plaintes des Clients
– Planification des Processus des Ressources Humaines
– Conduite des Processus de Recrutement
– Suivi des Affaires Juridiques
– Planification et exécution des activités opérationnelles nécessaires pour assurer la conformité des activités de Kuzeyboru avec ses procédures internes et/ou la législation applicable.
– Collecte des enregistrements d’entrée et de sortie des employés des partenaires/fournisseurs.
– Création et suivi des registres de visiteurs.
– Planification et exécution des activités d’audit de Kuzeyboru.
– Planification et/ou exécution des processus de santé et de sécurité au travail.
– Garantie de l’exactitude et de la mise à jour des données.
– Gestion et/ou audit des relations avec les sociétés affiliées.
– Garantie de la sécurité des sites et/ou installations de Kuzeyboru.
– Garantie de la sécurité des actifs et/ou ressources de Kuzeyboru.
– Planification et/ou exécution des processus de gestion des risques financiers de Kuzeyboru.

Pour toute finalité de traitement de données à caractère personnel non couverte par les cas susmentionnés, Kuzeyboru sollicite le consentement explicite des personnes concernées. Par conséquent, en l’absence des bases légales précitées, les activités de traitement de données suivantes sont réalisées sur la base du consentement explicite des personnes concernées :
– Planification et Exécution des Droits d’Accès aux Informations et aux Installations pour les Partenaires et Fournisseurs
– Planification et Exécution des Activités Logistiques
– Gestion des Relations avec les Partenaires et Fournisseurs
– Suivi des Processus Contractuels et/ou des Actions en Justice
– Planification des Processus des Ressources Humaines
– Conduite des Processus de Recrutement
– Planification et/ou Exécution des Activités de Satisfaction Client
– Planification et exécution des activités opérationnelles nécessaires pour assurer la conformité des activités de Kuzeyboru avec ses procédures internes et/ou la législation applicable.
– Collecte des enregistrements d’entrée et de sortie des employés des partenaires/fournisseurs.
– Planification et exécution des activités d’audit de Kuzeyboru.
– Planification et/ou exécution des processus de santé et de sécurité au travail.
– Garantie de la sécurité des sites et/ou installations de Kuzeyboru

ARTICLE 21 : DURÉES DE CONSERVATION DES DONNÉES À CARACTÈRE PERSONNEL
Kuzeyboru conserve les données à caractère personnel conformément aux durées de conservation prévues par les lois et réglementations applicables.

En l’absence de durée de conservation légale, les données sont conservées pour une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées, en accord avec les pratiques de Kuzeyboru et les usages commerciaux. À l’issue de cette période, les données sont supprimées, détruites ou anonymisées. Des informations plus détaillées à ce sujet sont disponibles dans la présente politique.

Lorsque la finalité du traitement a disparu et que les durées de conservation légales ou celles définies par Kuzeyboru sont expirées, les données à caractère personnel peuvent être conservées uniquement à des fins probatoires dans d’éventuels litiges juridiques, ou pour la constatation, l’exercice ou la défense de droits en justice. Dans ce cas, les durées de conservation sont déterminées en se fondant sur les délais de prescription applicables à l’exercice desdits droits, ainsi que sur l’analyse de précédents litiges similaires. Durant cette période de conservation à des fins d’archivage, l’accès aux données est strictement restreint et n’est autorisé qu’en cas de nécessité dans le cadre d’un litige. Une fois cette durée expirée, les données à caractère personnel sont définitivement supprimées, détruites ou anonymisées.