L'Australie introduit des sanctions plus sévères pour les atteintes à la vie privée, mais cela améliorera-t-il la protection des données ?

Il se passe à peine une semaine sans qu'une importante violation de données ne soit au centre du cycle de l'actualité australienne. En septembre, Optus a annoncé une violation de 10 millions de dossiers clients. En octobre, Woolworths a annoncé que sa filiale MyDeal avait compromis 2 millions de dossiers clients et Medibank a déclaré une fuite touchant 10 millions de personnes. En novembre, les pirates ont acquis les détails de 5 millions de clients et d'employés d'AirAsia. Ce ne sont que les plus gros piratages, de nombreux incidents à plus petite échelle se produisant également chaque semaine.

Certes, il est raisonnable pour nous de nous attendre à ce que les organisations traitent nos données de manière responsable et respectueuse. Malheureusement, de nombreuses grandes et petites entreprises manquent à leurs devoirs et trahissent notre confiance. Cela ressemble à une question de quand, pas si, une violation de données se produit. Des mesures de sécurité plus robustes ne sont plus agréables mais nécessaires pour les organisations qui cherchent à maintenir la confiance des clients.

Jusqu'à cette semaine, la loi de 1998 sur la protection de la vie privée limitait les sanctions civiles maximales en cas d'infractions "graves ou répétées" à 2,22 millions de dollars (AUD). Cependant, les dommages-intérêts punitifs potentiels étaient insignifiants par rapport à la taille de l'entreprise. Par exemple, le chiffre d'affaires d'Optus était de 8 milliards de dollars et l'EBITDA de 2 milliards de dollars pour l'année se terminant en 2022, le chiffre d'affaires de Woolworths était de 61 milliards de dollars et le chiffre d'affaires de Medibank était de 7 milliards de dollars. En plus de cela, le Bureau du Commissaire australien à l'information (OAIC) ​​applique rarement des dommages-intérêts.

Cependant, tout cela pourrait être sur le point de changer et les entreprises seront exposées à un risque beaucoup plus élevé de pénalité financière. Le lundi 28 novembre, plus tôt cette semaine, le projet de loi 2022 portant modification de la législation sur la protection de la vie privée (application et autres mesures) a été adopté par les deux chambres du Parlement avec un soutien bipartite. Un aspect central de la législation était une augmentation des peines maximales au plus élevé de :

• 50 millions de dollars;
• Trois fois la valeur de tout avantage obtenu grâce à l'utilisation abusive d'informations ; ou
• 30% du chiffre d'affaires ajusté d'une entreprise au cours de la période concernée.

En plus de sanctions plus sévères, le projet de loi a également renforcé le pouvoir du commissaire australien à l'information d'enquêter sur les violations, notamment :

• Donner au commissaire à l'information australien des pouvoirs accrus pour résoudre les atteintes à la vie privée ;
• Renforcer le programme Notifiable Data Breaches pour s'assurer que le Commissaire à l'information australien a une connaissance et une compréhension complètes des informations compromises lors d'une violation afin d'évaluer le risque de préjudice pour les individus ; et
• Doter le Commissaire australien à l'information et l'Autorité australienne des communications et des médias de pouvoirs accrus en matière de partage d'informations.

Certains groupes de pression de l'industrie , AWS , ainsi que l'opposition et les Verts au parlement ont exprimé leurs préoccupations concernant certains aspects du projet de loi. Celles-ci se sont concentrées sur l'absence de sanctions à plusieurs niveaux pour les organisations de différentes tailles et les organisations caritatives ; l'absence de définition claire de l'atteinte « grave » ou « répétée » à la vie privée ; et l'inclusion de termes tels que « bénéfice » dans le régime de sanctions, qui suppose que les entreprises bénéficient toujours de l'ingérence dans la vie privée.

Malgré les préoccupations mentionnées ci-dessus, nous devrions saluer ces mesures car elles représentent des progrès nécessaires et montrent une volonté de demander des comptes aux entreprises. Cependant, il y a trois raisons pour lesquelles ces seules mesures, qui se concentrent largement sur l'augmentation des sanctions, ne parviendront pas à changer véritablement la donne et à protéger les intérêts des consommateurs.

Premièrement, l'histoire fournit peu de preuves de la volonté ou de la capacité du gouvernement d'imposer des amendes en vertu de la Loi sur la protection des renseignements personnels. À moins que nous ne voyions un changement radical par rapport à cette position conservatrice et que l'AOIC démontre une approche proactive pour tirer parti de son nouveau pouvoir, il est peu probable que nous assistions à un changement fondamental pour dissuader avec succès les mauvaises pratiques.

Deuxièmement, les clients sont souvent les véritables victimes d'une violation de données, mais ils ne sont pas les destinataires des sanctions. Au mieux, une violation peut se limiter au nom et à l'adresse e-mail d'un individu, mais au pire, elle peut être bien plus grave : une famille aurait perdu 40 000 $ en raison d'un vol d'identité suite à la violation d'Optus , tandis que des centaines de victimes ont eu des informations sur les dépendances, les problèmes de santé mentale et les avortements publiés en ligne à partir des dossiers de Medibank. Même de lourdes amendes ne peuvent minimiser leur douleur une fois que leurs informations personnelles ont été exposées de manière permanente.

Troisièmement, et c'est le plus important, la législation n'aborde pas le cœur du problème. De nombreuses organisations ont du mal à suivre le rythme de l'évolution rapide du paysage et n'ont pas la capacité de développer des contrôles plus sécurisés pour prévenir les violations de données. Même les entités gouvernementales ont du mal à se protéger pleinement contre les cyberattaques. Souvent la carotte est plus efficace que le bâton ; par conséquent, le gouvernement devrait faire davantage pour soutenir les entreprises et encourager les bons comportements plutôt que de compter sur les sanctions comme moyen de dissuasion.

La Loi sur la protection des renseignements personnels fera l'objet d'un examen plus approfondi tout au long de 2023. Nous espérons que certains de ces problèmes seront résolus, mais nous croyons fermement que les organisations ont besoin de plus de soutien pour mettre en place des mesures solides de confidentialité et de protection à court terme.

N'hésitez pas à nous suivre sur LinkedIn ou à nous contacter si vous souhaitez discuter de la confidentialité et de la protection des données.