Les entreprises collectent et traitent les informations personnelles des utilisateurs à des fins très diverses, mais si vous êtes basé en Australie ou si vous surveillez les comportements en ligne des visiteurs de sites web dans le pays, vous pouvez être soumis à la loi australienne sur la protection de la vie privée (Australia Privacy Act 1988).
Ci-dessous, j'explique tout ce que vous devez savoir sur la loi australienne sur la protection de la vie privée, y compris ses exigences commerciales, les droits qu'elle accorde aux utilisateurs, les sanctions en cas de non-respect, et les solutions dont vous avez besoin pour mettre votre site web en conformité.
- Qu'est-ce que la loi australienne sur la protection de la vie privée de 1988 ?
- Loi australienne de 1988 sur la protection de la vie privée Termes clés et définitions
- Que couvre la loi australienne de 1988 sur la protection de la vie privée ?
- Exigences de la loi australienne sur la protection de la vie privée de 1988
- Loi australienne de 1988 sur la protection de la vie privée et lois mondiales sur la confidentialité des données : Similitudes et différences
- Quel est l'impact de la loi australienne de 1988 sur la protection de la vie privée sur les consommateurs ?
- Quel est l'impact de la loi australienne de 1988 sur la protection de la vie privée sur les entreprises ?
- Qui doit se conformer à la loi australienne de 1988 sur la protection de la vie privée ?
- Comment les entreprises peuvent-elles se préparer à la loi australienne de 1988 sur la protection de la vie privée ?
- Comment la loi australienne de 1988 sur la protection de la vie privée est-elle appliquée ?
- Amendes et pénalités en vertu de la loi australienne sur la protection de la vie privée (Australia Privacy Act) de 1988
- Comment Termly contribue-t-il à la mise en conformité avec la loi australienne de 1988 sur la protection de la vie privée ?
- Existe-t-il d'autres lois relatives à la protection de la vie privée en Australie ?
- Résumé
Qu'est-ce que la loi australienne sur la protection de la vie privée de 1988 ?
La loi australienne sur la protection de la vie privée de 1988 est la principale loi sur la protection des données dans le pays.
Elle a fait l'objet de plusieurs amendements depuis sa création en 1989 et dicte la manière dont les entités peuvent collecter, traiter et utiliser les données à caractère personnel des personnes en Australie.
La loi définit également les droits des personnes sur leurs données et les sanctions imposées en cas de violation de certaines parties de la loi.
Quand la loi australienne de 1988 sur la protection de la vie privée est-elle entrée en vigueur ?
La loi australienne sur la protection de la vie privée de 1988 est entrée en vigueur en 1989, mais selon l'histoire de la loi sur la protection de la vie privée, elle a subi plusieurs modifications depuis sa création afin de rester adaptée au paysage numérique moderne.
La loi a notamment fait l'objet d'une réforme majeure en 2014 avec l'adoption de la loi de 2012 portant modification de la loi sur la protection de la vie privée (Privacy Amendment Act 2012), qui a introduit des dispositions relatives à la protection de la vie privée:
- Élargissement des pouvoirs d'exécution du commissaire à l'information
- Nouvelles lois sur les codes de pratique concernant les principes australiens de protection de la vie privée
- Exigences applicables aux fournisseurs de services d'information sur la solvabilité
Loi australienne de 1988 sur la protection de la vie privée Termes clés et définitions
Pour vous aider à comprendre comment vous conformer à la loi australienne de 1988 sur la protection de la vie privée, je vous propose quelques termes clés et définitions tels qu'ils apparaissent dans le texte de la loi:
Que couvre la loi australienne de 1988 sur la protection de la vie privée ?
La loi sur la protection de la vie privée (Privacy Act) de 1988 couvre les informations personnelles de toutes les personnes vivant en Australie, quel que soit leur statut de citoyenneté.
Elle protège notamment les données des particuliers, des consommateurs et des employés dans le pays.
Exigences de la loi australienne sur la protection de la vie privée de 1988
La loi australienne de 1988 sur la protection de la vie privée (Australia Privacy Act 1988) énonce plusieurs exigences auxquelles les entreprises doivent se conformer, et que j'aborde dans la section suivante.
Fondement juridique du traitement des données à caractère personnel
En vertu de la loi australienne sur la protection de la vie privée, vous pouvez légalement collecter des données à caractère personnel lorsque cela est raisonnablement nécessaire pour atteindre les objectifs communiqués aux utilisateurs dans une politique de protection de la vie privée.
Toutefois, pour collecter des informations sensibles, vous devez obtenir le consentement, qui est défini par la loi comme étant à la fois implicite et explicite.
La collecte de ce type de données doit toujours être nécessaire aux fins divulguées aux utilisateurs dans un avis de confidentialité conforme.
Les 13 principes australiens de protection de la vie privée (APP)
La majeure partie de la loi sur la protection de la vie privée est constituée de 13 principes australiens de protection de la vie privée (Australian Privacy Principles ou APP), qui définissent les droits, les normes et les obligations en la matière :
- Collecte, utilisation et partage des données à caractère personnel
- Quelles sont les responsabilités des entités lors de la collecte et de l'utilisation d'informations à caractère personnel ?
- L'intégrité et l'exactitude des informations personnelles
- Les droits d'accès des individus à leurs données personnelles
Voici la liste complète des 13 APP :
Les organisations ont la possibilité d'adapter ces PPA à leurs activités particulières de traitement des données.
En outre, ils sont conçus pour être "neutres sur le plan technologique", ce qui signifie qu'ils peuvent s'adapter et s'appliquer aux technologies existantes et futures.
Obligations en matière de sécurité des données
En vertu de la loi australienne sur la protection de la vie privée, les organisations doivent prendre des mesures pour protéger la sécurité et l'intégrité des informations personnelles qu'elles recueillent contre les personnes non autorisées :
- Accès
- Modification
- Divulgation
Les organisations doivent également détruire de manière appropriée les données à caractère personnel (ou les dépersonnaliser) lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
Exigences en matière de notification des violations de données
Les organisations doivent informer les individus et le Bureau du Commissaire australien à l'information(OAIC) de toutes les violations de données admissibles dès que possible.
Les violations de données éligibles sont les suivantes
- L'accès non autorisé, la divulgation ou la perte d'informations personnelles détenues par une entité APP.
- Tout ce qu'une personne raisonnable pourrait croire susceptible de causer un préjudice grave à toute personne dont les données ont été compromises.
Loi australienne de 1988 sur la protection de la vie privée et lois mondiales sur la confidentialité des données : Similitudes et différences
Il existe plusieurs lois différentes sur la protection de la vie privée dans le monde, notamment les suivantes :
- La loi californienne sur la protection de la vie privée des consommateurs(CCPA)
- Le règlement général sur la protection des données (GDPR)
- Loi argentine sur la protection des données personnelles(Argentina PDPA)
- Loi générale sur la protection des données(LGPD) du Brésil
- Loi canadienne sur la protection des renseignements personnels et les documents électroniques(LPRPDE)
- Loi sud-africaine sur la protection des informations personnelles(POPIA)
- Loi thaïlandaise sur la protection des données personnelles(Thailand PDPA)
- Loi néo-zélandaise sur la protection de la vie privée 2020
Le tableau ci-dessous compare la loi australienne de 1988 sur la protection de la vie privée (Australia Privacy Act 1988) à ces autres lois mondiales sur la protection de la vie privée.
| Loi sur la protection des données | Nécessité d'un consentement explicite* | Obligation de publier une politique de protection de la vie privée | Définit les obligations contractuelles à l'égard des tiers | Responsabilise les entreprises en matière de sécurité des données | Exigences spécifiques pour les transferts internationaux de données | Exige des lignes directrices supplémentaires pour les catégories d'informations sensibles (spéciales) |
| Loi sur la protection de la vie privée de 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Argentine PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| RGPD | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| LPRDE | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Loi sur la protection de la vie privée 2020 | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Thaïlande PDPA | ✓ | ✓ | ✓ | ✓ | ✓ |
*Avec quelques exceptions pour certaines lois.
Quel est l'impact de la loi australienne de 1988 sur la protection de la vie privée sur les consommateurs ?
La loi australienne de 1988 sur la protection de la vie privée (Australia Privacy Act 1988) a un impact sur les consommateurs en leur accordant des droits et des contrôles sur leurs données :
- Le droit de ne pas s'identifier lorsqu'ils traitent avec certaines organisations.
- Le consentement et le choix sur la manière dont leurs données sont utilisées et divulguées, en particulier si elles sont partagées avec des tiers ou utilisées à des fins de marketing direct.
- La possibilité de déposer une plainte s'ils estiment qu'une organisation a violé les PPA lors du traitement de leurs données.
- La possibilité de demander à ne pas recevoir de communications marketing directes de la part des organisations.
- Le droit de savoir si leurs données sont transférées au niveau international vers un pays dont le niveau de protection est similaire à celui de la loi sur la protection de la vie privée.
À qui s'applique la loi australienne de 1988 sur la protection de la vie privée ?
La loi sur la protection de la vie privée s'applique à toute personne physique en Australie, ce qui signifie qu'elle protège les données personnelles de toute personne se trouvant dans le pays, quel que soit son statut de citoyen.
Toutefois, les données collectées par des particuliers à des fins purement personnelles ou domestiques sont exemptées.
Quel est l'impact de la loi australienne de 1988 sur la protection de la vie privée sur les entreprises ?
Outre les objectifs légitimes du traitement des données et les exigences en matière de sécurité des données mentionnés précédemment, la loi australienne sur la protection de la vie privée a également une incidence sur les politiques des entreprises en matière de protection de la vie privée et de cookies.
Comment la loi australienne de 1988 sur la protection de la vie privée affecte-t-elle ma politique en matière de protection de la vie privée ?
La loi australienne sur la confidentialité des données a une incidence considérable sur les politiques de protection de la vie privée, car elle définit plusieurs exigences différentes en matière de transparence et de notification :
- Divulguer les informations personnelles que vous recueillez, y compris les informations personnelles sensibles.
- Expliquer comment les informations sont collectées (directement auprès des consommateurs ou indirectement auprès de sources externes).
- Exposer les raisons pour lesquelles vous recueillez des informations personnelles.
- Indiquer si vous partagez les données avec des tiers.
- Expliquer si vous transférez les données au niveau international et les mesures de sécurité mises en place pour garantir leur traitement en toute sécurité.
- Décrire les mesures de sécurité générales mises en place pour assurer la sécurité des données à caractère personnel.
- Indiquer quels sont les droits des utilisateurs sur leurs informations et comment ils peuvent faire valoir ces droits.
En vertu de cette loi, les organisations doivent régulièrement revoir et mettre à jour leur politique de protection de la vie privée afin de se conformer à toutes les directives en matière de notification et de transparence.
Comment la loi australienne de 1988 sur la protection de la vie privée affecte-t-elle mon site politique de cookies?
La loi sur la protection de la vie privée de 1988 a une incidence sur les politiques en matière de cookies, car elle décrit les lignes directrices relatives à la publicité ciblée et à la divulgation (c'est-à-dire au partage) d'informations personnelles, ce qui inclut les données collectées par les cookies Internet.
Votre site politique de cookies doit expliquer clairement les raisons pour lesquelles vous partagez avec des tiers les données collectées à l'aide de cookies Internet.
Vous devez également expliquer si vous utilisez des cookies à des fins de marketing direct et fournir à vos utilisateurs un moyen d'exercer leur droit de retrait, ce que vous pouvez faire en utilisant une bannière de consentement conforme ou en liant un formulaire de demande d'accès à la base de données(DSAR) à votre site web.
Enfin, veillez à ce que votre site politique de cookies soit mis à jour et exact pour répondre aux exigences de notification.
Qui doit se conformer à la loi australienne de 1988 sur la protection de la vie privée ?
Toutes les organisations du secteur privé australien, les agences du gouvernement fédéral australien et toutes les organisations internationales qui sont considérées comme "exerçant une activité commerciale" dans le pays doivent se conformer à la loi sur la protection de la vie privée de 1988 (Privacy Act 1988).
Une organisation est considérée comme "exerçant une activité commerciale" si ses produits ou services sont disponibles en Australie.
Les organisations étrangères peuvent être tenues de se conformer à la loi même si elles ne collectent pas ou ne traitent pas de données personnelles de personnes australiennes.
Qui est exempté de la loi australienne de 1988 sur la protection de la vie privée ?
Les organisations suivantes sont exemptées de l'application de la loi australienne de 1988 sur la protection de la vie privée (Australian Privacy Act 1988) :
- Les organisations dont le chiffre d'affaires annuel est inférieur à 3 millions de dollars australiens, sauf si elles échangent des données à caractère personnel contre des avantages ou si elles collectent des données sur la santé.
- Partis politiques enregistrés
- Autorités des États et territoires
Comment les entreprises peuvent-elles se préparer à la loi australienne de 1988 sur la protection de la vie privée ?
Pour se préparer à la loi australienne de 1988 sur la protection de la vie privée, les entreprises doivent s'assurer que leur politique de protection de la vie privée est mise à jour, précise et répond à toutes les exigences en matière de notification.
Il est également nécessaire de mettre à jour votre politique de cookies et de fournir aux utilisateurs une bannière de consentement ou un formulaire DSAR afin qu'ils puissent exercer leurs droits en matière de protection de la vie privée.
Assurez-vous que vous ne collectez qu'une quantité raisonnable de données pour atteindre les objectifs décrits à vos utilisateurs dans votre politique de confidentialité.
Mettre en œuvre les mesures de sécurité nécessaires pour protéger ces données contre les violations et établir un plan d'information de l'OAIC et des individus, au cas où une cyberattaque se produirait.
Comment la loi australienne de 1988 sur la protection de la vie privée est-elle appliquée ?
La loi australienne de 1988 sur la protection de la vie privée est appliquée par le bureau du commissaire australien à l'information (OAIC).
Ils ont le pouvoir d'établir des règles fondées sur la loi, de mener des enquêtes et de sanctionner les personnes qui enfreignent la loi.
Amendes et pénalités en vertu de la loi australienne sur la protection de la vie privée (Australia Privacy Act) de 1988
Les sanctions pour violation de la loi australienne de 1988 sur la protection de la vie privée sont sévères.
Elles peuvent atteindre 2,5 millions de dollars pour les particuliers et jusqu'à 50 millions de dollars pour les entreprises, soit 30 % du chiffre d'affaires total réalisé en violation de la loi.
Les récidives entraînent des amendes plus élevées, tout comme les infractions graves impliquant de grandes quantités de données.
La première amende importante infligée par l'OAIC a été une pénalité de 1,9 million de dollars australiens (1,22 million de dollars) à l'encontre de Facebook (détenu par Meta) pour avoir violé certains aspects de la loi sur la protection de la vie privée.
L'affaire est toujours en cours, mais elle illustre la portée extraterritoriale de la loi.
Comment Termly contribue-t-il à la mise en conformité avec la loi australienne de 1988 sur la protection de la vie privée ?
Termly aide les entreprises à se conformer à la loi australienne de 1988 sur la protection de la vie privée (Australia Privacy Act 1988) en leur fournissant un formulaire de notification et de transparence. Générateur de politique de confidentialité qui comprend toutes les clauses nécessaires pour répondre aux directives de notification et de transparence définies par les APP.
Conçu par notre équipe juridique et nos experts en matière de confidentialité des données, il pose des questions simples sur votre entreprise et élabore une politique prête à l'emploi sur la base de vos réponses.
Nous proposons également un site plateforme de gestion du consentement (CMP) que vous pouvez configurer pour répondre à toutes les obligations de consentement décrites par la loi.
Existe-t-il d'autres lois relatives à la protection de la vie privée en Australie ?
Il existe en Australie plusieurs autres lois relatives à la protection de la vie privée, dont beaucoup fonctionnent en tandem avec la loi de 1988 sur la protection de la vie privée (Privacy Act 1988) :
- Réglementation de l'Autorité australienne des communications et des médias: Cette loi supervise la radiodiffusion, l'internet, les radiocommunications et les télécommunications et veille au respect de la vie privée en ce qui concerne le contenu en ligne.
- Telecommunications Act 1997 (loi sur les télécommunications) : cette loi définit les obligations relatives à la manière dont les services de télécommunications traitent les informations relatives aux clients.
- Loi de 2003 sur le pourriel (Spam Act): Cette loi réglemente les messages électroniques commerciaux afin de garantir l'obtention du consentement avant d'envoyer des messages de marketing à des personnes.
- Loi de 2012 sur les dossiers médicaux : Cette loi régit les données de santé numériques dans le système national de dossiers de santé numériques.
En outre, certaines lois spécifiques aux États et aux territoires traitent des questions de protection de la vie privée pour les habitants des différentes régions d'Australie.
Résumé
Si votre entreprise est soumise à la loi australienne de 1988 sur la protection de la vie privée, veillez à prendre les mesures suivantes pour vous conformer à tous les APP et à toutes les obligations :
- Mettre à jour les politiques en matière de protection de la vie privée et de cookies afin de respecter les lignes directrices en matière de notification et de transparence.
- Fournir aux utilisateurs une bannière de consentement compatible, en particulier si vous faites de la publicité ciblée ou si vous recueillez des informations sensibles.
- Affichez un formulaire DSAR sur votre site afin que les utilisateurs puissent exercer leurs droits d'accès, de rectification, de modification ou de suppression de leurs données.
- Mettre en œuvre des mesures de sécurité pour protéger les données à caractère personnel contre tout accès non autorisé.
Pour simplifier votre parcours de conformité, utilisez nos Générateur de politique de confidentialité et plateforme de gestion du consentementqui sont configurables pour répondre aux exigences de la loi australienne sur la protection de la vie privée de 1988.
En savoir plus sur l'auteur
Écrit par James Ó Nuanáin, CIPP/E, CIPM, CIPT
James est un professionnel de la protection de la vie privée qui a plus de sept ans d'expérience dans l'assistance aux grandes organisations pour qu'elles se conforment à leurs obligations au titre du GPDR et d'autres réglementations locales en matière de protection de la vie privée. Il est passionné par la confidentialité des données et l'intersection entre le droit et la technologie. En savoir plus sur l'auteur
