Skip to content
Voir tous les articles

Afrique du Sud Le respect de la vie privée : Loi sur la protection des renseignements personnels (POPIA)

Le Loi sud-africaine sur la protection des informations personnelles (POPIA) La loi POPIA vise à garantir le droit à la protection des données des personnes concernées en Afrique du Sud et offre aux citoyens sud-africains un meilleur contrôle sur leurs données personnelles. Elle exige également que toute organisation traitant des données personnelles en Afrique du Sud protège ces données.

Qu'est-ce que POPIA ? 

La version finale de POPIA en Afrique du Sud — qui entrera en vigueur le 1er juillet 2021 — est la dernière loi majeure sur la confidentialité des données au monde à s'inspirer étroitement de la loi de l'UE GDPR.

La loi donne aux citoyens — ou aux personnes concernées — des droits exécutoires droits sur leurs informations personnelles, établit huit exigences minimales pour le traitement des données (par exemple, l'introduction du consentement comme base juridique requise), crée une définition large des informations personnelles pour une protection complète de l'utilisateur final et forme un régulateur de l'information (SAIR) pour appliquer et superviser les dispositions.

Données personnelles et données personnelles sensibles

La loi POPIA s'applique à toute entreprise ou organisation traitement des informations personnelles en Afrique du Sud, qui réside dans le pays, ou qui ne réside pas dans le pays mais utilise des moyens de traitement automatisés ou non automatisés en Afrique du Sud.

POPIA définit les informations personnelles au sens large, toute information relative non seulement à une personne vivante, mais également à une entreprise ou à une entité juridique.

Les données personnelles, au sens de la loi POPIA et du RGPD, comprennent les données qui identifient une personne spécifique ou les données qui la rendent identifiable. La loi POPIA inclut également une définition similaire des données personnelles et des informations personnelles spéciales (ou données sensibles (dans le RGPD), la loi sud-africaine établit des exigences strictes qui attribuent des infractions pénales aux données sensibles et vulnérables.

Traitement des données

La loi POPIA définit le traitement des données comme la collecte, la réception, l'enregistrement, l'organisation, le stockage, la fusion, la liaison, etc., d'informations personnelles. La loi POPIA autorise les entreprises et les organisations à traiter des données si cela est jugé dans l'intérêt légitime de l'utilisateur, ce qui peut créer une ambiguïté et engendrer des difficultés d'application.

La POPIA crée également huit conditions pour traitement licite des données, où le consentement de la personne concernée est essentiel. Il appartient aux sites web, entreprises et organisations (« parties responsables ») de prouver que leur traitement est licite, ou que les consentements corrects ont été obtenus des utilisateurs. La loi POPIA définit le consentement comme toute expression volontaire, spécifique et éclairée d'un choix.

Transfert et partage de données

Les transferts d'informations personnelles de l'intérieur vers l'extérieur de l'Afrique du Sud sont interdits par la POPIA, avec les exceptions suivantes :

  • les transferts transfrontaliers sont autorisés vers un tiers soumis à des obligations légales ou d'entreprise protection des données des règles sensiblement similaires aux siennes.
  • certains types de transfert sont exemptés des conditions, par exemple lorsqu'une personne a consenti au transfert ou lorsque le transfert est nécessaire pour exécuter un contrat.

Droits des données

La loi POPIA crée neuf droits exécutoires pour les citoyens sud-africains (personnes concernées), y compris, mais sans s'y limiter, le droit d'accès, le droit de rectification et le droit de suppression.

Comme dans le cadre du RGPD, les citoyens peuvent demander confirmation de la gratuité du traitement de leurs données personnelles. Contrairement au RGPD, la loi POPIA autorise les organisations à facturer des frais pour la fourniture aux particuliers d'une copie des informations qu'elles détiennent à leur sujet. Les organisations qui choisissent cette option doivent fournir au préalable une estimation écrite du coût.

La loi POPIA exige également que les organisations répondent à toute demande de ce type. Demande DSAR dans un délai raisonnable. Le RGPD, en revanche, est plus précis et stipule que, dans des circonstances normales, les organisations doivent répondre à une demande d'accès aux données personnelles (DSAR) sans délai — et au plus tard dans un délai d’un mois.

Amendes, pénalités et prison, oh là là !

Les conséquences financières d'une violation de la POPIA entraînent une pénalité maximale de $10 millions de ZAR (rands sud-africains), ce qui est bien inférieur à une Amende RGPD Un maximum de 20 millions d'euros ou 4% de chiffre d'affaires annuel mondial. Toutefois, les autorités répressives européennes peuvent prendre en compte le degré de coopération dont fait preuve une organisation lors de leurs enquêtes.

En complément de la législation sud-africaine, les individus peuvent être tenus pénalement responsables et condamnés à une peine de prison pouvant aller jusqu’à 10 ans dans les cas les plus graves.

Par rapport à la loi POPIA, les sanctions du RGPD ciblent plus directement la non-conformité. Elles s'appliquent à la non-conformité et à diverses autres infractions, notamment l'entrave, l'obstruction ou l'influence illicite des agents chargés de l'application de la loi qui ne se présentent pas aux audiences sous serment.

Avec BigID, les entreprises peuvent éviter ces pénalités et anticiper les défis de conformité POPIA :

Toute organisation traitant les données personnelles des résidents sud-africains doit s’assurer qu’elles sont en conformité avec POPIA et prêtez une attention particulière à tout conseil publié par les régulateurs au cours des prochains mois.

Découvrez comment BigID peut vous aider vous assurez la conformité de votre organisation avec POPIA.

Contenu