Ertuğ & Partners
TRENFR
Blog
12 nov. 20252025 Q4

L'IA Générative sur le Lieu de Travail : Checklist de Conformité KVKK

KVKKConformité Entreprise

---

Le document intitulé "Utilisation des Outils d'Intelligence Artificielle Générative sur le Lieu de Travail" et le guide complet sur l'IA publiés par l'Autorité de Protection des Données Personnelles (KVKK) ont clarifié les attentes juridiques envers les systèmes d'IA utilisés quotidiennement par les institutions et les professionnels. Le message central de ces lignes directrices est simple : interdire la technologie par peur de faire des erreurs n'est pas une solution, car les interdictions engendrent ce que l'on appelle le "Shadow IT", soit une utilisation parallèle, incontrôlée, cachée et beaucoup moins sécurisée. Ce que les entreprises doivent faire, c'est encadrer juridiquement ces outils par le biais de mesures administratives et techniques.

Chez Ertuğ & Partners, afin de rendre ces risques gérables et d'éviter les amendes administratives, nous vous recommandons d'appliquer la checklist de conformité étape par étape ci-dessous.

A. Inventaire de l'Entreprise et Cartographie des Données

Il est impossible de se conformer à la loi si vous ne savez pas quelle application traite quel type de donnée. La première attente de la KVKK est un inventaire transparent.

  • [ ] Dressez la liste complète de tous les outils d'IAG utilisés dans l'entreprise, qu'il s'agisse de licences d'entreprise ou d'utilisations individuelles par les employés (y compris ChatGPT, Claude, Microsoft Copilot, Notion AI, Midjourney et les applications sectorielles intégrées).
  • [ ] Tracez de manière détaillée la cartographie des flux de données de chaque application : les données (requêtes ou fichiers téléchargés) sont-elles traitées dans le cloud, localement sur l'appareil, ou envoyées au fournisseur de LLM ? De plus, le fournisseur utilise-il ces données pour "entraîner son propre modèle" ?
  • [ ] Pour détecter le "Shadow IT", réalisez une analyse du réseau avec le département informatique : identifiez vers quels sites d'intelligence artificielle (en dehors de la politique de l'entreprise) le trafic est dirigé.
  • [ ] Conformément à l'Article 3 de la KVKK, définissez clairement votre rôle en tant que "Responsable du traitement" (Data Controller) ou "Sous-traitant" (Data Processor) pour chaque outil. Cette distinction détermine à qui incombe la responsabilité en cas de violation.

    • B. Fondements Juridiques et Limitations

    Le traitement de données personnelles par une IA doit reposer sur un motif juridique légitime dans le cadre des Articles 5 et 6 de la KVKK.

  • [ ] Déterminez une base légale claire de traitement pour chaque scénario d'utilisation de l'IAG, tel que la finalité "prévue par la loi", l'exécution d'un contrat ou l'"intérêt légitime".
  • [ ] Si vous vous appuyez sur le "Consentement Explicite", assurez-vous que ce consentement a été donné spécifiquement pour l'utilisation de l'intelligence artificielle et de plein gré. Les consentements globaux du type "Vous pouvez traiter toutes mes données comme bon vous semble" sont considérés comme juridiquement nuls.
  • [ ] Si la base de l'"intérêt légitime" est appliquée (Exemple : résumés de correspondances internes par l'IA), effectuez et documentez un "Test de Mise en Balance des Intérêts" formel pour prouver que le traitement ne nuit pas aux droits fondamentaux de l'individu.

    • C. Protection Stricte Pour les Données Personnelles de Catégorie Particulière (Article 6)

  • [ ] Interdisez strictement de manière institutionnelle l'intégration de données personnelles de catégorie particulière visées à l'Article 6 (informations médicales, données biométriques, appartenances syndicales ou associatives, origine ethnique, condamnations pénales) dans les systèmes d'IA (en particulier dans le cloud).
  • [ ] Dans le cas d'exceptions obligatoires, tels que les secteurs de la santé ou de l'assurance, prouvez (et documentez) votre conformité aux exigences de l'Article 6 ainsi que la prise des mesures techniques attendues par le Comité de l'Autorité. Le simple consentement ne suffit généralement pas ; des critères informatiques rigoureux, comme la journalisation obligatoire et le chiffrement des données, sont exigés.

    • D. Conformité Dans le Cadre du Transfert de Données à l'Étranger

    La plupart des grands outils mondiaux (tels que ChatGPT, Copilot) hébergent généralement leurs serveurs aux États-Unis ou en Europe. Dès l'instant où vous y insérez une donnée personnelle, cela équivaut à un "Transfert de Données à l'Étranger" tel que défini à l'Article 9 de la KVKK.

  • [ ] Identifiez de manière formelle les pays où se situent les centres de données pertinents appartenant au fournisseur de l'application.
  • [ ] Sélectionnez l'un des mécanismes légaux de transfert selon les directives de la KVKK (Clauses Contractuelles Types, Engagements d'Entreprise, ou une Décision d'Adéquation si elle existe). Aujourd'hui, la plupart des grandes entreprises technologiques acceptent de signer des Clauses Contractuelles Types (SCC).
  • [ ] Examinez soigneusement les contrats Entreprise pour vous assurer qu'ils intègrent une garantie confirmant que le fournisseur n'utilisera pas vos données pour l'apprentissage de ses modèles d'intelligence artificielle ("zero-data retention / opt-out").

    • E. Mesures Techniques et Administratives & AIPD (KVKK Article 12)

  • [ ] Instaurez un contrôle d'accès fondé sur les rôles (Role-based access). Le personnel ne doit pouvoir recourir à l'IA uniquement sur les dossiers auxquels il a spécifiquement droit d'accès.
  • [ ] Créez des règles de prévention contre la perte de données, dites "Data Loss Prevention (DLP)" : bloquez techniquement la copie de documents internes qualifiés "Confidentiels" ainsi que l'insertion de numéros d'identité turcs ou de données biologiques confidentielles dans les chats prompt IA.
  • [ ] La KVKK recommande fortement d'élaborer une "Analyse d'Impact Relative à la Protection des Données" (AIPD). Une AIPD doit être obligatoire avant tout déploiement aux risques critiques, notamment lors d'un protocole d'acquisition RH ou dans l'attribution de crédits automatisée.
  • [ ] Assurez-vous que l'historique des prompts soit chiffré afin d'éviter tout examen non autorisé.

    • F. Transparence et Mise en Application au Sein de l'Organisation

    L'obligation de transparence (Article 10) n'est pas qu'un simple formulaire légal, mais relève du principe de bonne foi envers l'utilisateur.

  • [ ] Informez le personnel (Avis de confidentialité employé) et les clients (Avis client / visiteur) de manière explicite que leurs données font l'objet d'une "analyse par intelligence artificielle" hébergée possiblement à l'étranger.
  • [ ] Distribuez et publiez (par exemple chaque année ou lors de l'intégration) un règlement d'entreprise intitulé "Politique d'Utilisation de l'Intelligence Artificielle". Il doit expressément lister quels protocoles sont mis en place, autorisés ou interdits et formaliser les règles imposées à chaque collaborateur. Tout manquement à ces procédures entraînera l'activation d'actions disciplinaires, conformes aux exigences du Code de travail en Turquie.
  • [ ] Mettez à jour votre inscription VERBİS en ajoutant "les sociétés spécialisées en IA" dans vos catégories du champ "Organismes Destinataires des Données Partagées".

    • ---

    Cette checklist a été conçue purement dans le but d'informations globales et ne saurait s'entendre, de par ce fait, à l'équivalence d'aucune consultation ou conseil juridique ferme ou particulier.

    Tous les Articles