Israël est largement reconnu comme un acteur mondial majeur et un leader de l'innovation en matière de cybersécurité, notamment dans des domaines tels que la sécurité de l'IA, la protection du cloud et le renseignement sur les menaces. Il était donc tout naturel qu'Israël entre dans une nouvelle phase de sa législation sur la protection des données. Israël a ainsi remanié la Loi sur la protection de la vie privée, 5741-1981, qui constitue une refonte complète du cadre de protection de la vie privée. Cette réforme souligne l'engagement d'Israël à s'aligner sur les normes mondiales en matière de protection de la vie privée tout en conservant son approche réglementaire distincte, en mettant davantage l'accent sur la cybersécurité.
Le 5 août 2024, la Knesset a approuvé l'amendement n° 13, dont la plupart des dispositions entreront en vigueur le 14 août 2025. La mise à jour modernise les définitions de base, ajoute des obligations de gouvernance (comme la nomination d'un responsable de la protection de la vie privée dans des cas définis), renforce la transparence, introduit des exigences en matière de courtier en données et étend considérablement les pouvoirs du Autorité de protection de la vie privée (PPA) d’enquêter, de faire respecter la loi et d’infliger des amendes, ce qui signale une évolution vers une protection proactive des données et une gouvernance conforme aux exigences réglementaires.
L'amendement 13 arrive en même temps qu'un autre Espace économique européen (EEE) régime de transfert de données devenu applicable en 2025 pour les bases de données israéliennes qui incluent également des données provenant de l'EEE, imposant des droits et des devoirs renforcés à ces bases de données mixtes.
Réforme historique de la protection de la vie privée
La loi israélienne sur la protection de la vie privée, promulguée pour la première fois en 1981, a été progressivement modifiée au fil des décennies. L'amendement 13 constitue la réforme la plus radicale à ce jour : elle apporte de la cohérence aux mises à jour précédentes, introduit des définitions juridiques modernes et crée de nouveaux mécanismes de supervision proactive, de contrôle et d'enquête administrative.
La législation a été élaborée à la suite de vastes consultations auprès de juristes, de la société civile et de leaders du secteur. Il en résulte un cadre conçu pour trouver un équilibre délicat : favoriser l'innovation tout en préservant les droits individuels, et doter l'Autorité de protection de la vie privée (PPA) du mandat et des outils nécessaires pour assurer la conformité plus efficacement que jamais.
Nouvelles mises à jour de l'amendement 13
Définitions de données plus larges
Données personnelles couvre désormais toutes les données concernant une personne identifiée ou identifiable (en utilisant des « efforts raisonnables »), et traitement est défini au sens large (toute opération sur des données personnelles). Catégories de données particulièrement sensibles sont clarifiés et élargis.
Responsable de la protection de la vie privée obligatoire
Les organisations qui atteignent certains seuils (traitement à grande échelle de données sensibles, surveillance systématique ou fonctionnement en tant qu’autorités publiques ou courtiers en données) sont désormais tenues de nommer un délégué à la protection de la vie privée (DPP) qualifié.
Ce rôle doit fonctionner de manière indépendante, rendre compte directement à la haute direction et apporter un mélange unique d'expertise : connaissances juridiques, maîtrise de l'informatique et de la cybersécurité et une compréhension approfondie des opérations de l'organisation.
La PPA a clarifié les attentes clés : les personnes ayant un pouvoir de décision ne peuvent pas occuper le poste de PPO, et le rôle doit rester distinct de celui de responsable de la sécurité de l'information afin d'éviter les conflits d'intérêts.
Au-delà de la surveillance du traitement des données, le PPO doit être activement impliqué dans toutes les questions liées à la vie privée, avec un accès garanti aux ressources nécessaires pour remplir efficacement son mandat.
Transparence et avis élargis
Les organisations sont tenues de fournir des informations transparentes et faciles à comprendre sur les données collectées, les raisons pour lesquelles elles sont traitées et les personnes qui en auront connaissance. accéder Lors du traitement de catégories de données sensibles, notamment les données biométriques ou les informations utilisées dans les systèmes d'IA, des règles de divulgation supplémentaires s'appliquent pour garantir une responsabilité accrue.
Le consentement doit être éclairé, volontaire et, dans la plupart des cas, explicite. Cela est particulièrement vrai pour le traitement des données sensibles et le marketing direct. Les directives de la PPA précisent que les organisations doivent proposer des options de consentement détaillées, éviter les consentements vagues ou groupés et garantir que les individus puissent faire des choix véritablement libres.
La PPA a souligné que ces exigences de consentement sont des obligations contraignantes, et non des suggestions. Cela signifie que les organisations doivent mettre en place des mécanismes d'adhésion clairs, assurer une transparence totale sur l'utilisation des données et conserver des enregistrements vérifiables de la collecte et de la gestion du consentement.
Les courtiers en données sous le microscope
Les organisations pratiquant le courtage de données ou le publipostage sont tenues d'enregistrer officiellement leurs bases de données et de conserver des registres détaillés des sources et des transferts de données. Elles doivent également respecter les demandes de désinscription en veillant à ce que toutes les communications incluent le numéro d'enregistrement de la base de données ainsi que des instructions claires pour sa suppression.
Le non-respect de ces exigences peut entraîner des mesures administratives coercitives, notamment des avertissements ou des sanctions pécuniaires.
Surveillance de l'IA et de la confidentialité des données
L'APP a clairement indiqué que les systèmes d'intelligence artificielle traitant des données personnelles ne resteront pas sans réglementation. Les organisations sont tenues d'évaluer les risques liés à la prise de décision automatisée, de maintenir la transparence et de mettre en place des garanties pour réduire les préjugés et la discrimination. Ces mesures s'inscrivent dans la tendance internationale et soulignent l'approche délibérée et avant-gardiste d'Israël en matière de Gouvernance de l'IA.
Dans ses orientations, le régulateur souligne les principes d'explicabilité, d'équité et de responsabilité dans les opérations algorithmiques. Pour se conformer, les entités doivent conserver une documentation de leurs systèmes d'IA. réaliser des évaluations d'impactet faire preuve d'une gouvernance proactive. Ensemble, ces exigences marquent une étape décisive vers l'instauration de la confiance et responsabilité dans le traitement piloté par l'IA.
Gestion des risques liés aux fournisseurs
Avant de faire appel à des sous-traitants tiers, les responsables du traitement doivent évaluer leurs pratiques en matière de confidentialité et de cybersécurité, établir des accords de traitement des données solides avec des obligations de sécurité claires et surveiller en permanence conformité des fournisseursLes sous-traitants devraient être tenus de fournir des rapports annuels sur leurs mesures de cybersécurité et leur mise en œuvre, garantissant ainsi une responsabilité continue et une atténuation des risques.
Transferts de données et EEE
Conformément à la réglementation promulguée en 2023 afin de préserver le statut d'adéquation de la Commission européenne aux lois israéliennes sur la protection de la vie privée, les données personnelles transférées de l'Espace économique européen (EEE) vers Israël sont soumises à des obligations de conformité supplémentaires. Les responsables du traitement doivent garantir l'exactitude des données. appliquer des limites de conservation stricteset fournir des mécanismes clairs pour demandes de suppressionLe non-respect de ces règles peut entraîner des amendes calculées individuellement, ce qui augmente considérablement les enjeux pour les organisations qui traitent des données provenant de l’EEE.
Exigences renforcées en matière de sécurité et de conformité
Les organisations qui gèrent des bases de données volumineuses et sensibles sont tenues de réaliser des évaluations des risques et des tests d'intrusion formels au moins tous les 18 mois. Les résultats doivent être documentés, les procédures de sécurité mises à jour et tout incident grave doit être rapidement signalé à l'Autorité de protection des données (PPA). Le non-respect de ces règles peut entraîner des amendes pouvant aller jusqu'à 320 000 ILS par infraction.
L'existant Règlement sur la sécurité des données (5777–2017) restent pleinement applicables et seront bientôt renforcées par les pouvoirs d'application élargis de la PPA en vertu de l'amendement 13. Cela signifie que les organisations doivent maintenir des garanties complètes, notamment une documentation mise à jour de la structure de la base de données, des journaux de contrôle d'accès détaillés, des manuels de réponse aux incidents, des pratiques de codage sécurisées et un cryptage fort pour le stockage et la transmission des données.
Des mesures d'application, des risques et des sanctions plus stricts
L'amendement 13 instaure un régime de conformité beaucoup plus strict, dont les conséquences vont bien au-delà de l'atteinte à la réputation. L'Autorité israélienne de protection de la vie privée (PPA) bénéficiera de pouvoirs d'exécution étendus, notamment la possibilité d'émettre des ordonnances administratives, d'imposer des sanctions pécuniaires importantes et de donner des instructions de cessation et d'abstention. Les amendes pourraient atteindre des millions de shekels, avec des multiplicateurs plus élevés pour les bases de données volumineuses ou le traitement d'informations sensibles.
Les organisations qui ne respectent pas ces règles s'exposent également à de multiples poursuites judiciaires : poursuites civiles, recours collectifs, voire poursuites pénales pour violations telles que violation de la confidentialité, traitement non autorisé ou induire les autorités réglementaires en erreur. Des dommages et intérêts légaux pouvant atteindre 100 000 ILS peuvent être accordés sans qu'il soit nécessaire de prouver le préjudice, et les tribunaux peuvent ordonner la suppression des données obtenues illégalement ou restreindre leur traitement ultérieur, faisant de la conformité non seulement une obligation légale, mais aussi un impératif commercial.
Notification du PPA
Les responsables du traitement sont tenus de notifier à l'APD toute base de données contenant des informations sensibles sur plus de 100 000 personnes. Ils doivent également soumettre un document officiel de définition de la base de données (équivalent israélien des registres des activités de traitement du RGPD de l'UE), ainsi que les coordonnées de leur délégué à la protection de la vie privée (DPV).
Impacts pratiques au quotidien
Gouvernance
Les organisations soumises à l'amendement 13 devront renforcer leurs cadres de gouvernance interne. Cela implique la nomination d'un responsable de la protection de la vie privée (RPP) indépendant, doté d'un budget suffisant et d'une autorité de direction pour superviser la conformité. Au-delà de la dotation en personnel, les entreprises devront intégrer des pratiques de protection de la vie privée dès la conception dans l'ensemble de leurs opérations. Des politiques de routine, des formations du personnel et des analyses d'impact de type DPIA deviendront obligatoires pour évaluer les nouvelles initiatives et les déploiements technologiques.
Transparence
Les obligations de transparence s'étendront bien au-delà des politiques de confidentialité standard. Universités, entreprises et startups devront moderniser leurs points de collecte, leurs applications et leurs formulaires de consentement en clarifiant les finalités du traitement des données, les droits des personnes, les destinataires des données et les durées de conservation. Pour les données sensibles, notamment la biométrie ou le profilage par IA, des normes de divulgation renforcées s'appliquent. Cela obligera les organisations à repenser la conception de l'expérience utilisateur et la communication client, afin de garantir que les informations relatives à la confidentialité soient à la fois accessibles et exploitables.
Conformité des courtiers en données
Les entités impliquées dans le courtage de données, l'enrichissement de profils ou le publipostage seront soumises à une surveillance accrue. Elles pourraient être tenues d'enregistrer leurs bases de données, de tenir des journaux détaillés des sources et des transferts, et de fournir des mécanismes clairs de désinscription et de suppression. Les régulateurs sont tenus de mener des audits ou des inspections pour garantir la transparence de la chaîne d'approvisionnement des données. Cela signifie que les équipes marketing, les fournisseurs de listes et les agrégateurs tiers doivent se préparer à un régime de conformité qui ressemble beaucoup plus à la réglementation financière ou boursière, où la documentation complète n'est pas facultative.
Exposition réglementaire
La PPA acquiert des pouvoirs d'exécution comparables à ceux des principaux régulateurs européens. Elle peut imposer des amendes administratives, suspendre des activités de traitement ou émettre des ordonnances de cessation et d'abstention. Une mauvaise tenue des registres internes, un manque de visibilité sur les bases de données sensibles ou une documentation non actualisée des bases de données entraînent désormais de sérieux risques financiers. Les organisations qui considéraient auparavant la confidentialité comme une formalité juridique devront mettre en place une surveillance opérationnelle continue pour éviter toute perturbation imprévue.
Litige
Au-delà de l'application réglementaire, les organisations sont confrontées à un risque croissant de litiges privés. La loi facilite l'indemnisation des personnes concernées, notamment par des dommages-intérêts légaux sans preuve de préjudice et élargit les motifs d'action collective. Les poursuites civiles, combinées à l'atteinte à la réputation et aux coûts de conformité croissants, font de la non-conformité un risque multiplicateur plutôt qu'une simple amende. Les entreprises doivent se préparer au risque de litige et le placer au cœur de leur stratégie de confidentialité, à l'instar de la responsabilité du fait des produits dans d'autres secteurs.
Comment BigID contribue aux nouvelles mises à jour de confidentialité d'Israël
L'amendement 13 à la loi israélienne sur la protection de la vie privée introduit des réformes radicales en matière de gouvernance, de responsabilité, de sécurité et d'application des lois. Les organisations devront adopter des contrôles plus stricts en matière de visibilité des données, de protection de la vie privée dès la conception et de gestion des risques. BigID fournit les bases de l'intelligence des données pour relever ces défis à grande échelle.
Découverte et classification des données
La loi exige des organisations qu'elles conservent une documentation claire de leurs bases de données, incluant les sources de données sensibles, les finalités de traitement et la conservation. BigID automatiquement scanne, découvre et classe Données personnelles et sensibles dans des environnements structurés, non structurés et cloud. Il crée des inventaires de données précis pour répondre aux exigences de reporting PPA, d'enregistrement dans les bases de données et d'enregistrement des activités de traitement.
Responsables de la gouvernance et de la confidentialité
L'amendement 13 impose la nomination d'un délégué à la protection de la vie privée (DPV) indépendant, doté de responsabilités de supervision et d'une visibilité sur toutes les activités de traitement. BigID propose un glossaire et tableau de bord de présentation des données qui fournit aux PPO un centre de contrôle pour surveiller la conformité, appliquer les politiques et garantir la responsabilité avec la haute direction.
Consentement et transparence
La réforme met l’accent explicite, consentement éclairé, transparence des notifications et contrôle précis de l'utilisation des données sensibles. BigID suit personnes concernées, dossiers de consentement, préférenceset leur utilisation dans toutes les applications. Les organisations peuvent démontrer une base légale pour le traitement, le respect demandes de désinscriptionet générer des rapports prêts à être divulgués pour répondre aux exigences de transparence.
Sécurité des données et gestion des risques
L'amendement 13 exige des évaluations des risques, des tests d'intrusion, des rapports d'incidents et des garanties renforcées pour les données sensibles. BigID propose notation des risques et la surveillance des politiques qui signalent les accès anormaux, l'exposition de données sensibles ou les violations des politiques de conservation. L'intégration avec les systèmes SIEM/SOAR améliore la réponse aux incidents et préparation à la notification des violations.
Supervision des fournisseurs et des courtiers en données
La loi impose aux responsables du traitement des données l'obligation d'examiner les sous-traitants, de veiller à leur conformité et de s'assurer que les courtiers en données tiennent des registres précis et respectent les conditions de désinscription. BigID fournit des informations sur le partage de données avec des tiers, aidant ainsi les organisations. surveiller qui a accès à quelles données, appliquer la minimisation des données et fournir des journaux vérifiables aux régulateurs.
Préparation réglementaire et défense en cas de litige
Grâce à de nouveaux pouvoirs administratifs, la PPA peut imposer des amendes, suspendre le traitement des demandes et autoriser les recours collectifs. BigID propose des solutions clés en main. rapports de conformité et des pistes d'audit, réduisant ainsi l'incertitude réglementaire et fournissant des preuves en cas de litige. Les organisations peuvent générer rapidement des documents de conformité pour satisfaire aux exigences des autorités de réglementation ou des tribunaux.
BigID contribue à la conformité avec l'intelligence des données et l'automatisation qui transforment les obligations légales en opérations répétables. Réservez une démo dès aujourd'hui !
Auteur
