Les principes australiens de protection de la vie privée: Guide complet pour les particuliers et les entreprises
La vie privée est un droit fondamental de chaque individu, et il est essentiel de maintenir la Confidentialité des renseignements personnels à l’ère numérique actuelle. En Australie, les Principes de confidentialité australiens (APPs) ont été introduits en 2014 pour s’assurer que les entreprises et les organisations traitent les Informations à caractère personnel (PII) de manière transparente et responsable. Cet article fournit un guide exhaustif des Principes de confidentialité australiens, leur objectif et leur impact sur les individus et les entreprises en Australie.
Introduction aux Principes australiens de protection de la vie privée (APP)
Les Principes australiens de protection de la vie privée sont un ensemble de lignes directrices qui régissent la manière dont les informations personnelles doivent être collectées, utilisées, divulguées et stockées par les entreprises et les organisations en Australie. Ces principes ont été introduits dans le cadre de la Loi sur la modification de la protection de la vie privée (renforcement de la protection de la vie privée) de 2012, qui est entrée en vigueur le 12 mars 2014. Les PAP remplacent les Principes nationaux de protection de la vie privée (PNPP) et les Principes d’information sur la vie privée (PIVP) qui étaient auparavant en vigueur.
Le but des Principes australiens de protection de la vie privée (APP)
L’objectif principal des APPs est de protéger la vie privée des individus et de veiller à ce que les entreprises et les organisations traitent les informations personnelles (PII) d’une manière responsable et transparente. Les principes sont conçus pour trouver un juste équilibre entre la protection de la confidentialité des données des individus et la possibilité pour les entreprises et les organisations de collecter et d’utiliser des informations personnelles à des fins légitimes.
Les 13 principes australiens de protection de la vie privée (APPs)
Les APPs se composent de 13 principes qui énoncent les obligations des entreprises et des organisations lorsqu’elles traitent des informations personnelles. Ces principes sont les suivants:
Gestion ouverte et transparente des informations personnelles
Ce principe exige des entreprises et des organisations qu’elles mettent en place des politiques et des procédures claires pour gérer les informations personnelles. Elles doivent également rendre ces informations facilement accessibles aux individus.
APP 2: Anonymat et pseudonyme
Ce principe exige que les entreprises et les organisations permettent aux individus de rester anonymes ou d’utiliser un pseudonyme lorsqu’ils sont en affaire avec eux, dans la mesure du praticable.
APP 3: Collecte d’informations personnelles sollicitées
Ce principe énonce les exigences à respecter par les entreprises et les organismes lorsqu’ils recueillent des renseignements personnels auprès des individus. Ils ne doivent recueillir que les informations nécessaires à leurs fins légitimes et le faire de manière légale et équitable.
APP 4: Traiter les informations personnelles non sollicitées
Ce principe exige des entreprises et des organisations de détruire ou de rendre anonymes les informations personnelles non sollicitées, à moins qu’elles ne soient nécessaires à des fins légitimes.
APP 5: Notification de la Collecte des Données Personnelles
Ce principe exige des entreprises et des organisations d’informer les personnes sur la collecte de leurs informations personnelles, y compris les fins pour lesquelles elle est collectée et les tiers qui y auront accès.
APP 6: Utilisation ou divulgation des renseignements personnels
Ce principe énonce les exigences auxquelles les entreprises et les organisations doivent se conformer lorsqu’elles utilisent ou communiquent des informations personnelles. Elles ne doivent le faire que dans le cadre de leurs objectifs légitimes et de manière légale et équitable.
APP 7: Marketing direct
Ce principe réglemente comment les entreprises et les organisations peuvent utiliser des informations personnelles à des fins de marketing direct. Ils doivent offrir aux individus la possibilité de se désabonner des communications de marketing direct.
APP 8: Divulgation transfrontalière des renseignements personnels
Ce principe régit le transfert d’informations personnelles à des destinataires à l’étranger. Les entreprises et les organisations doivent s’assurer que le destinataire bénéficie de protections de la vie privée similaires à celles fournies par les PEP.
APP 9 : Adoption, Utilisation et Divulgation d’Identifiants liés à la Gouvernance
Ce principe réglemente l’utilisation par les entreprises et les organisations des identifiants liés à l’État (tels que les numéros de permis de conduire ou les numéros de dossier fiscal) à des fins d’identification.
APP 10 : Qualité des informations personnelles
Ce principe exige des entreprises et des organisations qu’elles prennent des mesures raisonnables pour s’assurer que les renseignements personnels qu’elles détiennent sont exacts, à jour et complets.
APP 11 : Sécurité des informations personnelles (PII)
Ce principe exige des entreprises et des organisations de prendre des mesures raisonnables pour protéger les informations personnelles contre l’utilisation abusive, l’interférence et la perte, ainsi que contre l’accès, la modification ou la divulgation non autorisés. Ils doivent également détruire ou désidentifier les informations personnelles qui ne sont plus nécessaires à leurs fins légitimes.
APP 12 : Accès à l’information personnelle
Ce principe donne aux individus le droit d’accéder et de corriger leurs informations personnelles détenues par les entreprises et les organisations. Les entreprises et les organisations doivent fournir aux individus un accès à leurs informations personnelles dans un délai raisonnable et sans frais, sauf dans certains cas.
APP 13 : Correction des informations personnelles
Ce principe exige des entreprises et des organisations de corriger toute information personnelle inexacte qu’elles détiennent, sur demande de la personne concernée.
Pénalités de la loi des principes de confidentialité australienne
Les applications fournissent une protection importante des informations personnelles des individus et des sanctions sévères pour les organisations qui contreviennent à la loi.
La pénalité financière maximale pour des interférences graves et répétées de la vie privée en vertu des Principes australiens de protection de la vie privée est la suivante :
- AUD 50 000 000,
- 3 fois la valeur de tout avantage (si un tribunal peut déterminer la valeur de l’avantage obtenu de la contravention), ou
- 30 % du chiffre d’affaires ajusté du corps corporatif pendant la période de violation du chiffre d’affaires (si un tribunal ne peut déterminer la valeur du bénéfice obtenu de la contravention)
Autre qu’une pénalité civile, le Commissaire à la protection de la vie privée peut également émettre un avis d’exécution s’il estime qu’une organisation ne respecte pas les exigences des APPs. Un avis d’exécution exige de l’organisation qu’elle prenne une certaine action, comme corriger des erreurs dans ses pratiques d’information ou offrir une compensation aux personnes touchées par une violation des APPs.
Les organisations peuvent également être responsables des dommages subis par des particuliers ayant subi une perte ou un dommage en raison d’une infraction aux APPs. Cela comprend le remboursement des personnes touchées pour toute perte financière ou perte non économique, telle que l’humiliation, le stress ou l’anxiété.
En plus des pénalités susmentionnées, il est passible de poursuites pénales de divulguer ou d’utiliser les informations personnelles d’une personne de façon non autorisée ou à des fins non autorisées.
Il est important pour les organisations de comprendre leurs obligations en vertu des APPs, afin de s’assurer que leurs pratiques sont conformes et qu’elles peuvent éviter les pénalités potentiellement importantes associées à une non-conformité.
Comment les principes australiens de protection de la vie privée impactent-ils les entreprises et les individus?
Les APPs ont une incidence sur les particuliers et les entreprises. Pour les particuliers, les APPs aident à s’assurer que leurs informations personnelles (PII) sont protégées et utilisées uniquement à des fins légales. Ils donnent aux particuliers le droit d’accéder et de corriger les informations personnelles qu’ils détiennent, ainsi que le droit de se plaindre si leurs informations personnelles sont mal gérées. Ils aident également à protéger les particuliers des publicités non sollicitées, du spam et du vol d’identité.
Pour les entreprises, les APPs définissent les exigences qu’elles doivent respecter lorsqu’elles collectent, utilisent, divulguent et stockent des informations personnelles. Cela comprend la mise en place de systèmes sécurisés pour protéger les informations personnelles, l’information des personnes sur l’utilisation de leurs informations personnelles, l’obtention d’une autorisation pour les activités de marketing direct et la réponse aux demandes de confidentialité. Les APPs définissent également comment les entreprises doivent répondre aux plaintes en matière de confidentialité et aux éventuelles violations de données.
Comment les principes australiens de protection de la vie privée influencent-ils les agences gouvernementales ?
Les principes australiens de protection de la vie privée s’appliquent aux agences gouvernementales australiennes et réglementent la manière dont elles collectent, utilisent, divulguent, conservent et donnent accès aux informations personnelles.
Spécifiquement, les APPs exigent que les agences gouvernementales:
- Prendre des mesures raisonnables pour assurer la sécurité des informations personnelles qu’ils détiennent.
- Respecter les droits des individus à la vie privée et à l’accès à l’information
- Seulement utiliser ou divulguer les informations personnelles pour la fin pour laquelle elles ont été collectées.
- <p>Informer les individus pourquoi des informations personnelles sont collectées et comment elles seront utilisées.</p>
- Conservez des dossiers précis et à jour des informations personnelles.
- Détruire ou désidentifier les informations personnelles lorsqu’elles ne sont plus nécessaires.
- Donner aux individus accès à leurs informations personnelles.
- Assumer la responsabilité des violations des principes.
Les APPs affectent les agences gouvernementales car elles doivent s’assurer que leurs politiques, pratiques et procédures sont conformes aux APPs et que toute information personnelle (PII) qu’elles recueillent et utilisent est faite avec le consentement informé des individus et conformément aux principes. Le non-respect des APPs peut entraîner des amendes, des avertissements formels ou d’autres conséquences plus graves.
Meilleures pratiques pour le respect des principes australiens de protection de la vie privée
Pour garantir le respect des Principes australiens de protection de la vie privée, les entreprises devraient suivre ces bonnes pratiques :
Effectuer une évaluation des impacts sur la vie privée
Effectuer une Évaluation d’Impact sur la Protection des Données (EIPD) est une étape cruciale pour identifier et adresser les risques de confidentialité associés à la collecte, à l’utilisation, à l’entreposage et à la divulgation d’informations personnelles. Une EIPD aidera les entreprises à identifier les domaines où elles pourraient devoir améliorer leurs pratiques en matière de confidentialité pour se conformer aux APPs.
2. Mettre en œuvre des politiques et procédures de confidentialité
Les entreprises devraient avoir des politiques et des procédures de protection de la vie privée claires et complètes alignées avec les APPs. Ces politiques devraient définir le type d’informations personnelles collectées, la manière dont elles sont collectées et utilisées. Les entreprises devraient également disposer d’un processus clair pour répondre aux plaintes et aux violations de la vie privée.
3. Former les employés à la sensibilisation à la vie privée
4. Obtenir le consentement pour la collecte et l’utilisation des informations personnelles
Les entreprises doivent obtenir le consentement des particuliers avant de collecter ou d’utiliser leurs informations personnelles. Ce consentement doit être informé et spécifique à la finalité pour laquelle les informations sont collectées ou utilisées.
Conserver et transmettre en toute sécurité les informations personnelles
Les informations personnelles doivent être stockées et transmises de manière sécurisée pour empêcher l’accès ou la divulgation non autorisés. Cela inclut la mise en œuvre de mesures de sécurité physiques, techniques et administratives pour protéger les informations personnelles.
Répondre aux violations de la vie privée
Les entreprises devraient avoir un processus clair pour répondre aux violations de la vie privée, y compris pour informer les personnes concernées et les autorités réglementaires. Un plan de réponse aux violations devrait être régulièrement examiné et mis à jour pour s’assurer qu’il reste efficace.
Effectuer des audits de confidentialité réguliers
Les entreprises devraient effectuer régulièrement des « Audits de confidentialité » pour s’assurer de leur conformité aux APPs. Les audits peuvent aider à identifier les domaines où les pratiques de confidentialité peuvent devoir être améliorées ou mises à jour.
Travailler avec des fournisseurs de services tiers
Si une entreprise travaille avec des fournisseurs de services tiers, il est important de s’assurer que ces fournisseurs sont également conformes aux APPs. Les entreprises devraient soigneusement sélectionner des fournisseurs de services ayant des politiques et des pratiques de confidentialité solides en place.
Fournissez des avis de confidentialité
Les entreprises devraient fournir des avis de confidentialité aux individus lors de la collecte de leurs informations personnelles. Ces avis devraient expliquer le but pour lequel les informations sont collectées, comment elles seront utilisées et à quel type de tiers elles peuvent être divulguées.
10. Surveiller et mettre à jour les politiques et procédures de confidentialité
Les politiques et procédures de protection de la vie privée doivent être régulièrement surveillées et mises à jour afin de garantir le respect permanent des APPs. Cela comprend la révision et la mise à jour des politiques en réponse aux changements des lois ou des règlements sur la vie privée.
Conseils aux entreprises pour se conformer aux principes australiens de protection de la vie privée
L’une des étapes les plus importantes que les entreprises devraient prendre est de nommer quelqu’un pour s’occuper des questions de confidentialité. Cette personne devrait être responsable de veiller à ce que l’entreprise respecte toutes ses obligations en matière de confidentialité en vertu de la Loi sur la protection des renseignements personnels. Un agent de protection des renseignements personnels serait également responsable de recevoir les notifications des violations de la confidentialité et de fournir des conseils lorsque nécessaire en ce qui concerne les principes de protection des renseignements personnels.
Les entreprises devraient également établir une politique de confidentialité qui décrit comment les données des clients, telles que les informations personnelles, sont collectées et gérées. Cette politique devrait être communiquée aux clients afin qu’ils soient conscients du processus et de leurs droits. De plus, les entreprises devraient donner aux clients la possibilité de s’inscrire ou de se désinscrire pour que leurs coordonnées soient collectées.
Les entreprises devraient également mettre en place des mesures pour s’assurer que les données des clients sont sécurisées. Cela inclut l’utilisation de mots de passe sécurisés et de technologies de cryptage, ainsi que la restriction de l’accès physique aux données. Les données ne devraient également être stockées que le temps nécessaire et devraient être régulièrement évaluées pour leur exactitude et leur pertinence.
Les employés devraient également recevoir une formation régulière pour leur faire comprendre l’importance de la protection des informations personnelles. Cela inclut de les informer des conséquences d’une utilisation inappropriée des données des clients, ainsi que des processus et procédures qu’ils doivent suivre pour protéger les informations des clients.
Les entreprises devraient également avoir un processus en place pour répondre aux violations de données. Cela comprend avoir une équipe qui peut identifier, contenir et enquêter sur la violation, ainsi qu’un plan pour informer les clients et les parties prenantes concernés.
Démontrer le respect des Principes australiens sur la protection de la vie privée avec l’aide de Kiteworks
Les Principes australiens de protection de la vie privée jouent un rôle essentiel pour protéger la vie privée des individus en Australie. Ils imposent des obligations importantes aux entreprises et organisations lors de la gestion des informations personnelles, et un manquement à ces obligations peut entraîner des pénalités sévères ainsi qu’une détérioration de la réputation. Il est essentiel que les entreprises et organisations comprennent les PAP et prennent des mesures pour s’assurer qu’elles y sont conformes.
Les entreprises, les organismes sans but lucratif et les agences gouvernementales opérant en Australie doivent mettre en place une politique exhaustive de protection des données et de conformité pour les communications liées à un contenu sensible afin de satisfaire aux exigences des principes australiens de la vie privée. Par conséquent, ils doivent prendre des mesures pour suivre, contrôler et sécuriser correctement les communications numériques des informations personnelles (PII) appartenant aux citoyens australiens.
Kiteworks utilise un Appareil virtuel durci et met en œuvre des contrôles de sécurité étendus, tels que l’authentification à plusieurs facteurs et le double chiffrement au niveau des fichiers et des volumes, et des couches de sécurité pour s’assurer que le contenu privé est protégé lors de l’envoi, du partage, de la réception et du stockage. Cela abaisse considérablement le risque d’exposition à la sécurité et à la conformité associé aux communications de contenu sensible.
Kiteworks utilise également une gouvernance complète pour le suivi et le rapport sur qui peut consulter les informations personnelles, qui peut les modifier, avec qui elles peuvent être envoyées et partagées, et où elles peuvent être envoyées et partagées. Ce journal d’audit complet permet aux organisations de démontrer leur conformité aux règlements de protection des données tels que les principes australiens de confidentialité.
Pour plus d’informations sur le réseau privé Kiteworks et sur la façon dont il peut être utilisé pour démontrer le respect des principes australiens de protection de la vie privée, planifiez une démo sur mesure aujourd’hui.