Le Loi sud-africaine sur la protection des informations personnelles (POPIA) La loi POPIA vise à garantir le droit à la protection des données des personnes concernées en Afrique du Sud et offre aux citoyens sud-africains un meilleur contrôle sur leurs données personnelles. Elle exige également que toute organisation traitant des données personnelles en Afrique du Sud protège ces données.
Qu'est-ce que POPIA ?
La version finale de POPIA en Afrique du Sud — qui entrera en vigueur le 1er juillet 2021 — est la dernière loi majeure sur la confidentialité des données au monde à s'inspirer étroitement de la loi de l'UE GDPR.
La loi donne aux citoyens — ou aux personnes concernées — des droits exécutoires droits sur leurs informations personnelles, établit huit exigences minimales pour le traitement des données (par exemple, l'introduction du consentement comme base juridique requise), crée une définition large des informations personnelles pour une protection complète de l'utilisateur final et forme un régulateur de l'information (SAIR) pour appliquer et superviser les dispositions.
Données personnelles et données personnelles sensibles
La loi POPIA s'applique à toute entreprise ou organisation traitement des informations personnelles en Afrique du Sud, qui réside dans le pays, ou qui ne réside pas dans le pays mais utilise des moyens de traitement automatisés ou non automatisés en Afrique du Sud.
POPIA définit les informations personnelles au sens large, toute information relative non seulement à une personne vivante, mais également à une entreprise ou à une entité juridique.
Les données personnelles, au sens de la loi POPIA et du RGPD, comprennent les données qui identifient une personne spécifique ou les données qui la rendent identifiable. La loi POPIA inclut également une définition similaire des données personnelles et des informations personnelles spéciales (ou données sensibles (dans le RGPD), la loi sud-africaine établit des exigences strictes qui attribuent des infractions pénales aux données sensibles et vulnérables.
Traitement des données
La loi POPIA définit le traitement des données comme la collecte, la réception, l'enregistrement, l'organisation, le stockage, la fusion, la liaison, etc., d'informations personnelles. La loi POPIA autorise les entreprises et les organisations à traiter des données si cela est jugé dans l'intérêt légitime de l'utilisateur, ce qui peut créer une ambiguïté et engendrer des difficultés d'application.
La POPIA crée également huit conditions pour traitement licite des données, où le consentement de la personne concernée est essentiel. Il appartient aux sites web, entreprises et organisations (« parties responsables ») de prouver que leur traitement est licite, ou que les consentements corrects ont été obtenus des utilisateurs. La loi POPIA définit le consentement comme toute expression volontaire, spécifique et éclairée d'un choix.
Transfert et partage de données
Les transferts d'informations personnelles de l'intérieur vers l'extérieur de l'Afrique du Sud sont interdits par la POPIA, avec les exceptions suivantes :
- les transferts transfrontaliers sont autorisés vers un tiers soumis à des obligations légales ou d'entreprise protection des données des règles sensiblement similaires aux siennes.
- certains types de transfert sont exemptés des conditions, par exemple lorsqu'une personne a consenti au transfert ou lorsque le transfert est nécessaire pour exécuter un contrat.
Droits des données
La loi POPIA crée neuf droits exécutoires pour les citoyens sud-africains (personnes concernées), y compris, mais sans s'y limiter, le droit d'accès, le droit de rectification et le droit de suppression.
Comme dans le cadre du RGPD, les citoyens peuvent demander confirmation de la gratuité du traitement de leurs données personnelles. Contrairement au RGPD, la loi POPIA autorise les organisations à facturer des frais pour la fourniture aux particuliers d'une copie des informations qu'elles détiennent à leur sujet. Les organisations qui choisissent cette option doivent fournir au préalable une estimation écrite du coût.
La loi POPIA exige également que les organisations répondent à toute demande de ce type. Demande DSAR dans un délai raisonnable. Le RGPD, en revanche, est plus précis et stipule que, dans des circonstances normales, les organisations doivent répondre à une demande d'accès aux données personnelles (DSAR) sans délai — et au plus tard dans un délai d’un mois.
Amendes, pénalités et prison, oh là là !
Les conséquences financières d'une violation de la POPIA entraînent une pénalité maximale de $10 millions de ZAR (rands sud-africains), ce qui est bien inférieur à une Amende RGPD Un maximum de 20 millions d'euros ou 4% de chiffre d'affaires annuel mondial. Toutefois, les autorités répressives européennes peuvent prendre en compte le degré de coopération dont fait preuve une organisation lors de leurs enquêtes.
En complément de la législation sud-africaine, les individus peuvent être tenus pénalement responsables et condamnés à une peine de prison pouvant aller jusqu’à 10 ans dans les cas les plus graves.
Par rapport à la loi POPIA, les sanctions du RGPD ciblent plus directement la non-conformité. Elles s'appliquent à la non-conformité et à diverses autres infractions, notamment l'entrave, l'obstruction ou l'influence illicite des agents chargés de l'application de la loi qui ne se présentent pas aux audiences sous serment.
Avec BigID, les entreprises peuvent éviter ces pénalités et anticiper les défis de conformité POPIA :
- Découvrir les données: Identifier les données personnelles et classer les données sensibles.
- Contextualiser les données : Corréler les relations entre les données en apportant un contexte aux données personnelles et aux données sensibles.
- Données d'étiquettes et de marquage à des fins juridiques : Assurez-vous que les données sont traitées conformément aux réglementations en matière de confidentialité.
- Minimiser les données en double ou sensibles: Activez la minimisation des données avec l'identification des doublons et appliquez des règles de conservation basées sur un objectif légal.
- Gérer les risques liés aux données:Découvrez, classez et cartographiez les données pour appliquer des contrôles de réduction des risques de violation.
- Automatiser l'exécution des droits sur les données: Automatisez l'exécution manuelle des demandes d'accès et de suppression de données individuelles.
- Rapport sur les données dont ils disposent : activez les flux de travail de correction et validez si des données sensibles sont capturées.
- Détecter les transferts de données transfrontaliers hors politique:Suivez les violations d'accès, d'utilisation et de transfert des données dans toute l'organisation pour une action immédiate.
Toute organisation traitant les données personnelles des résidents sud-africains doit s’assurer qu’elles sont en conformité avec POPIA et prêtez une attention particulière à tout conseil publié par les régulateurs au cours des prochains mois.
Découvrez comment BigID peut vous aider vous assurez la conformité de votre organisation avec POPIA.