Conformez-vous aux principales dispositions de la loi sud-africaine sur la protection des renseignements personnels (POPIA).

En novembre 2013, le Parlement de la République d’Afrique du Sud a adopté la loi de 2013 sur la protection des renseignements personnels appelée POPIA (Protection of Personal Information Act) :

Pour promouvoir la protection des renseignements personnels traités par des organismes publics et privés ; introduire certaines conditions afin d’établir des exigences minimales pour le traitement des renseignements personnels ; prévoir la création d’un organisme de réglementation de l’information chargé d’exercer certains pouvoirs et de s’acquitter de certaines tâches et fonctions conformément à la présente loi et à la loi de 2000 sur la promotion de l’accès à l’information ; prévoir la publication de codes de conduite ; garantir les droits des personnes concernant les communications électroniques non sollicitées et la prise de décision automatisée ; réglementer la circulation des renseignements personnels au-delà des frontières de la République ; et pourvoir aux questions qui s’y rattachent.

Conséquences potentielles en cas de non-respect de la loi POPIA

Les articles 100 à 106 de la loi POPIA traitent des cas où les parties se trouveraient « coupables d’une infraction ». Plus précisément, l’article 105 (Actes illicites de la partie responsable en relation avec le numéro de compte) stipule que « la partie responsable doit… avoir su ou aurait dû savoir que… [une violation de la confidentialité des données à caractère personnel] causerait vraisemblablement des dommages ou une détresse substantiels à la personne concernée. »

De plus, l’article 106 (Actes illicites de tiers en relation avec le numéro de compte) de la loi POPIA stipule que « une personne qui, sciemment ou imprudemment, sans le consentement de la partie responsable... obtient ou divulgue le numéro de compte d’une personne concernée... ou fait en sorte de divulguer le numéro de compte d’une personne concernée à une autre personne est… coupable d’une infraction. »

L’article 107 détaille les sanctions applicables aux infractions respectives. Plus précisément, « toute personne reconnue coupable d’une infraction… est passible… d’une amende ou d’une peine d’emprisonnement d’une durée maximale de 10 ans, ou d’une amende assortie d’une telle peine d’emprisonnement ; ou… d’une amende ou d’une peine d’emprisonnement d’une durée maximale de 12 mois, ou d’une amende assortie d’une telle peine d’emprisonnement ».

Comme indiqué à l’article 109 de la loi, l’amende maximale « ne peut dépasser 10 millions de rands ».

    Règlement

    Le contenu suivant est directement extrait de la loi POPI de la République d’Afrique du Sud.

    Mesures de sécurité relatives à l’intégrité et la confidentialité des renseignements personnels

    19. (1) Une partie responsable doit garantir l’intégrité et la confidentialité des renseignements personnels en sa possession ou sous son contrôle en prenant des mesures techniques et organisationnelles appropriées et raisonnables pour empêcher :

    • la perte, l’endommagement ou la destruction non autorisée de renseignements personnels ; et
    • l’accès illégal ou le traitement illégal des renseignements personnels.

    Afin de donner effet au paragraphe (1), la partie responsable doit prendre des mesures raisonnables pour :

    • identifier tous les risques internes et externes raisonnablement prévisibles pour les renseignements personnels en sa possession ou sous son contrôle ;
    • établir et maintenir des garanties appropriées contre les risques identifiés ;
    • vérifier régulièrement que les garanties sont effectivement mises en œuvre ; et
    • veiller à ce que les garanties soient continuellement mises à jour en réponse aux nouveaux risques ou aux lacunes des garanties précédemment mises en œuvre.

    Mesures de sécurité relatives aux informations traitées par le sous-traitant

    21. (1) Une partie responsable doit, aux termes d’un contrat écrit entre la partie responsable et le sous-traitant, s’assurer que le sous-traitant qui traite les renseignements personnels pour le compte de la partie responsable établit et maintient les mesures de sécurité visées à l’article 19.

    (2) Le sous-traitant doit informer immédiatement la partie responsable s’il existe des motifs raisonnables de croire que les renseignements personnels d’une personne concernée ont été consultés ou acquis par une personne non autorisée.

    Notification des compromissions de sécurité

    22. (1) S’il existe des motifs raisonnables de croire que les renseignements personnels d’une personne concernée ont été consultés ou acquis par une personne non autorisée, la partie responsable doit en informer :

    • le régulateur ; et
    • sous réserve du paragraphe (3), la personne concernée, à moins que l’identité de cette personne ne puisse être établie.

    (4) La notification à une personne concernée… doit être effectuée par écrit et communiquée à la personne concernée de l’une au moins des manières suivantes :

    • envoyée à la dernière adresse physique ou postale connue de la personne concernée ;
    • envoyée par e-mail à la dernière adresse e-mail connue de la personne concernée ;
    • publiée à un emplacement visible sur le site Internet de la partie responsable ;
    • publiée dans les médias d’information ; ou
    • selon les directives du régulateur.

    Recours civils

    99. (1) Une personne concernée ou, à la demande de la personne concernée, le régulateur, peut intenter une action civile en dommages-intérêts devant un tribunal compétent contre une partie responsable pour violation de toute disposition de la présente loi visée à l’article 73, qu’il y ait ou non intention ou négligence de la part de la partie responsable.

    (3) Une instance judiciaire visée au paragraphe (1) peut accorder un montant juste et équitable, notamment :

    • le paiement de dommages-intérêts en réparation du préjudice patrimonial et non patrimonial subi par une personne concernée du fait de la violation des dispositions de la présente loi ;
    • des dommages-intérêts aggravés, pour une somme déterminée à la discrétion du tribunal ;
    • des intérêts ; et
    • les frais de poursuite dans les proportions déterminées par le tribunal.

    Conformité

    Les HSM Entrust nShield® peuvent vous aider à vous conformer à la loi POPIA (POPI Act) et à éviter l’exigence de notification des violations de données.

    Bien que POPIA ne précise pas clairement ce qui est considéré comme un accès et une acquisition de données d’une personne concernée, les réglementations du monde entier qui traitent de la protection des renseignements personnels stipulent que si les données ont été pseudonymisées ou rendues illisibles pour quiconque les a récupérées illégalement, il n’est alors pas nécessaire de signaler la violation de données ; devenues inexploitables pour les voleurs, les données sensibles dérobées ne peuvent porter préjudice à la personne concernée.

    Les deux pratiques recommandées et largement acceptées en matière de pseudonymisation sont le chiffrement et la tokénisation. Ces deux techniques utilisent des clés cryptographiques pour convertir du texte brut en texte chiffré illisible et inversement. Si les « cybercriminels » dérobent les clés avec les données chiffrées ou segmentées, ils peuvent alors reconvertir les données en texte brut. Il est donc essentiel de séparer les clés des données qu’elles protègent et de prévoir une sécurité supplémentaire pour les clés elles-mêmes.

    Solutions Entrust pour la sécurité des clés cryptographiques

    La meilleure pratique pour la sécurité des clés cryptographiques consiste à stocker ces clés dans un module matériel de sécurité (HSM). Les HSM Entrust nShield sont des dispositifs matériels renforcés et inviolables qui sécurisent les processus cryptographiques en générant, protégeant et gérant les clés utilisées pour chiffrer et déchiffrer les données et créer des signatures et des certificats numériques. Ces HSM sont testés, validés et certifiés selon les normes de sécurité les plus élevées, notamment FIPS 140-2 et les Critères Communs. Les HSM Entrust nShield permettent aux entreprises de :

    • Respecter et dépasser les normes réglementaires établies et émergentes en matière de confidentialité des données
    • Atteindre de meilleurs niveaux de sécurité des données et de confiance
    • Maintenir des niveaux élevés de service et de réactivité commerciale

    nShield as a Service est une solution sur abonnement permettant de générer, de protéger et d’accéder aux clés cryptographiques, indépendamment des données sensibles, à l’aide de HSM nShield Connect dédiés certifiés FIPS 140-2 Niveau 3. Cette solution offre les mêmes caractéristiques et fonctionnalités que les HSM sur site, auxquelles s’ajoutent les avantages d’un déploiement dans le cloud. Cela permet aux clients d’atteindre leurs objectifs en matière de stratégies privilégiant le cloud, tout en confiant la gestion de ces appareils aux experts d’Entrust.

    Ressources

    Fiche de conformité : Loi POPIA d’Afrique du Sud

    La loi POPIA d’Afrique du Sud traite de la protection des renseignements personnels ainsi que des amendes et des actions civiles pouvant résulter d’une violation.

    Brochures : Brochure de la famille des HSM Entrust nShield

    Les HSM Entrust nShield offrent un environnement renforcé et inviolable pour le traitement cryptographique sécurisé, la génération de clés et leur protection, le chiffrement, etc. Disponibles selon trois facteurs de forme certifiés FIPS 140-2, les HSM Entrust nShield conviennent pour de nombreux scénarios de déploiement.

    Fiche technique : nShield as a Service

    nShield as a Service est une solution sur abonnement permettant de générer, de protéger et d’accéder aux clés cryptographiques à l’aide de HSM nShield Connect dédiés certifiés FIPS 140-2 Niveau 3.

    Solutions connexes

    Produits connexes

    dialoguer en ligne