L’Australie a confirmé qu’un changement législatif à venir renforcera considérablement ses lois sur la confidentialité en ligne à la suite d’une série de violations de données ces dernières semaines, comme la violation d’Optus telco le mois dernier.
« Malheureusement, d’importantes violations de la vie privée au cours des dernières semaines ont montré que les garanties existantes sont inadéquates. Il ne suffit pas qu’une sanction pour une violation majeure de données soit considérée comme le coût des affaires », a déclaré son procureur général, Mark Dreyfus, dans un communiqué ce week-end.
« Nous avons besoin de meilleures lois pour réglementer la façon dont les entreprises gèrent l’énorme quantité de données qu’elles collectent, et de sanctions plus lourdes pour inciter à un meilleur comportement. »
Les changements seront apportés via un amendement aux lois sur la protection de la vie privée du pays, à la suite d’un long processus de consultation sur les réformes.
Dreyfus a déclaré que le projet de loi de 2022 modifiant la législation sur la protection de la vie privée (application et autres mesures) augmentera les sanctions maximales pouvant être appliquées en vertu de la Loi de 1988 sur la protection de la vie privée pour les atteintes graves ou répétées à la vie privée, de l’amende actuelle de 2,22 millions de dollars australiens (~ 1,4 million de dollars) à la plus élevée des deux valeurs suivantes :
- 50 millions de dollars australiens (~ 32 millions de dollars);
- 3x la valeur de tout avantage obtenu grâce à l’utilisation abusive d’informations ; ou
- 30 % du chiffre d’affaires ajusté d’une entreprise au cours de la période concernée
Ces montants sont sensiblement plus élevés qu’une version antérieure de la réforme de l’année dernière (lorsque des pénalités de 10 millions de dollars australiens ou 10 % du chiffre d’affaires étaient envisagées).
Des manquements majeurs comme chez Optus – et un autre qui a suivi de près, chez l’assureur-maladie Medibank Private – semblent avoir concentré l’esprit des législateurs.
Le changement de gouvernement, plus tôt cette année, signifie également qu’il y a un nouveau balai au travail.
Les changements supplémentaires suivis par Dreyfus incluent des pouvoirs accrus pour le commissaire à l’information australien et un système renforcé de violation des données notifiables pour fournir au chien de garde de la confidentialité une vue plus complète de ce qui a été compromis lors d’une violation, également afin qu’il puisse évaluer le risque de préjudice pour les individus .
Le commissaire à l’information et l’Australian Communications and Media Authority seront également dotés de plus grands pouvoirs de partage d’informations pour permettre une collaboration plus réglementaire.
Les deux agences ont ouvert des enquêtes sur Optus après la violation du mois dernier.
Le projet de loi sur la modification de la législation sur la protection de la vie privée devrait être présenté au parlement australien cette semaine, selon Reuters.
Le département du procureur général entreprend également un examen complet de la loi sur la protection des renseignements personnels qui doit être achevé cette année, avec des recommandations attendues pour une nouvelle réforme, a-t-il déclaré.
« J’attends avec impatience le soutien de l’ensemble du Parlement pour ce projet de loi, qui est un élément essentiel du programme du gouvernement visant à garantir que le cadre de protection de la vie privée de l’Australie est en mesure de répondre aux nouveaux défis de l’ère numérique. Le gouvernement albanais s’est engagé à protéger les informations personnelles des Australiens et à renforcer davantage les lois sur la confidentialité », a ajouté Dreyfus.