Qu’est-ce que la loi sud-africaine sur la confidentialité des données POPIA ?

Table of Contents

En juillet 2020, le Parlement sud-africain a promulgué la loi POPIA. Il s’agit de la loi la plus récente et la plus importante du pays sur la confidentialité des données personnelles des Sud-Africains. Avec l’entrée en vigueur d’une série de nouvelles lois sur la confidentialité des données dans le monde entier, telles que le RGPD et le CCPA, il s’agit du dernier ajout qui renforce les réglementations sud-africaines pour refléter les nouvelles normes mondiales.

Toutes les organisations opérant en Afrique du Sud doivent connaître et s’y conformer. Dans le cas contraire, ils risquent d’encourir des pénalités et des conséquences importantes.

Qu’est-ce que POPIA ?

La POPIA, ou Loi sur la protection des renseignements personnels, a été adoptée pour la première fois en 2013. Cependant, après sept ans de vide juridique, la loi est finalement entrée en vigueur en juillet 2020, avec une période de grâce d’un an pour faciliter la conformité. Pire encore, POPIA a été rédigé pour la première fois en 2003 et a connu de nombreuses itérations.

Dans sa forme actuelle, la loi vise à donner aux citoyens sud-africains des droits sur leurs données personnelles, y compris le droit de corriger, d’accéder et de supprimer toute information personnelle qu’une organisation peut posséder.

De plus, les organisations n’ont pas besoin d’être situées en Afrique du Sud pour que la loi soit applicable. En effet, à l’instar du RGPD, toute organisation possédant les données personnelles des citoyens sud-africains doit être en conformité avec la POPIA.

Quels sont les droits des personnes concernées en vertu de la POPIA ?

À l’instar d’autres lois sur la confidentialité des données, la POPIA consacre certains droits inaliénables aux personnes concernées. Ceux-ci garantissent un meilleur contrôle de la collecte, de l’utilisation et de la divulgation des données personnelles aux individus et garantissent une plus grande transparence de la part des organisations.

Selon le chapitre 2(5), la POPIA inclut le droit (les déclarations importantes sont mises en évidence en gras) :

  1. d’être informé que :
    1. des renseignements personnels le concernant sont recueillis conformément à l’article 18 ; ou
    2. ses renseignements personnels ont été consultés ou acquis par une personne non autorisée, comme le prévoit l’article 22 ;
  2. établir si un responsable détient des informations personnelles de cette personne concernée et demander l’accès à ses informations personnelles comme prévu aux termes de l’article 23 ;
  3. de demander, le cas échéant, la rectification, la destruction ou la suppression de ses renseignements personnels conformément à l’article 24 ;
  4. de s’opposer, pour des motifs raisonnables tenant à sa situation particulière, au traitement de ses informations personnelles tel que prévu à l’article 11(3)(a) ;
  5. de s’opposer au traitement de ses informations personnelles
    1. à tout moment à des fins de marketing direct en vertu de l’article 11(3)(b) ; ou
    2. aux termes de l’article 69(3)(c) ;
  6. de ne pas faire traiter ses informations personnelles à des fins de marketing direct au moyen de communications électroniques non sollicitées , sauf dans les cas visés à l’article 69(1) ;
  7. de ne pas faire l’objet, dans certaines circonstances, d’une décision fondée uniquement sur le traitement automatisé de ses renseignements personnels destiné à fournir le profil de cette personne tel que prévu à l’article 71 ;
  8. de déposer une plainte auprès de l’organisme de réglementation concernant l’ingérence présumée dans la protection des renseignements personnels de toute personne concernée ou de déposer une plainte auprès de l’organisme de réglementation à l’égard de la détermination d’un arbitre conformément à l’article 74 ; et
  9. d’intenter une poursuite civile relativement à l’atteinte alléguée à la protection de ses renseignements personnels prévue à l’article 99.

En bref, la Loi garantit à une personne concernée le droit à un consentement valable à la collecte, à l’utilisation ou à l’accès à ses données. Ils peuvent également demander la destruction ou la rectification de leurs données. De plus, dans les cas où leurs droits sont violés, ils ont le droit de porter plainte et de poursuivre l’organisation en question.

Qu’est-ce qui est considéré comme une donnée personnelle en vertu de la POPIA ?

La plupart des lois sur la confidentialité des données ont adopté une position large lors de la définition des données personnelles. POPIA n’est pas différent. Ici , il s’agit de « tout type d’information relative à une personne physique identifiable et vivante, à une société ou à une entité juridique similaire ».

Par exemple:
– Noms, adresses, e-mails ou numéros de téléphone
– Marqueurs identitaires : sexe, âge, origine ethnique, orientation sexuelle, convictions politiques, etc.
– Données de santé
– Identifiants en ligne : cookies, adresses IP, historique de navigation, données de localisation, etc.

Sanctions et application en vertu de la POPIA

En vertu du RGPD, les sanctions financières encourues peuvent être substantielles. La POPIA prévoit des sanctions financières moins sévères, mais prévoit la possibilité d’une peine d’emprisonnement ou de sanctions pour les coupables.

Les infractions et le non-respect de la loi relèvent de l’organisme de réglementation de l’information, et c’est lui qui administre les sanctions pécuniaires et pénales.

L’article 109 stipule que l’amende maximale en cas d’infraction est de 10 millions de rands (environ 490 000 euros). Entre-temps, l’article 107 stipule que certaines violations peuvent entraîner une peine d’emprisonnement pouvant aller jusqu’à 10 ans.

Toutes les plaintes des personnes concernées doivent d’abord être soumises au régulateur, qui est alors chargé d’instruire le dossier. Ensuite, l’organisme de réglementation doit décider s’il va de l’avant avec l’action ou s’il renonce à d’autres sanctions.

Conclusion

Suite à l’entrée en vigueur de la POPIA, une organisation opérant en Afrique du Sud doit s’assurer de sa conformité. Heureusement, ceux qui sont déjà conformes au RGPD trouveront peu de différence entre les deux actes. En effet, les huit conditions du RGPD pour un traitement légal des données sont reflétées dans POPIA.

En bref, pour garantir que vous êtes en conformité avec POPIA :

  1. Demandez toujours un consentement éclairé et valable.
  2. Offrir la possibilité d’annuler le consentement à tout moment.
  3. Tenir les personnes concernées informées de toute modification du traitement des données.
  4. Ne traiter les données que conformément aux conditions énoncées et aux droits de la personne concernée.

Suivez ces quatre étapes simples et vous aurez presque terminé votre chemin vers la conformité totale à la POPIA. Pour de plus amples renseignements sur la Loi, veuillez consulter la loi originale ici.

Sources:
https://popia.org/application-provisions/#S5
https://altadvisory.africa/popia/
https://popia.co.za/
https://www.payfast.co.za/blog/what-is-popia-and-how-does-it-affect-your-online-business/
https://www.tessian.com/blog/ultimate-guide-to-the-popia-south-africas-privacy-law/
https://popiachecklist.co.za/what-is-popia/
https://popia.org/directory/

Sales & Support