Tout ce que vous devez savoir sur la conformité avec POPIA

Publié: 2021-09-21

POPIA est la première loi sud-africaine complète sur la protection de la vie privée, également connue sous le nom de loi sud-africaine sur la protection des données. Il est entré en vigueur le 1er juillet 2021.

POPIA vise à donner effet au droit constitutionnel à la vie privée, tout en équilibrant celui-ci avec des droits et intérêts concurrents, en particulier le droit d'accès à l'information.

Lisez à l'avance pour en savoir plus sur POPIA ce que vous devez faire pour la conformité des sites WordPress.

À qui POPIA s'adresse-t-il ?

POPIA s'appliquera à toute entreprise, quelle que soit la taille, le secteur ou l'emplacement qui traite les informations personnelles si l'organisation est

  • Basé en Afrique du Sud, ou
  • Basé en dehors de l'Afrique du Sud, mais traite des informations personnelles en Afrique du Sud (sauf s'il ne fait que transmettre des informations personnelles à travers le pays)

Cela signifie que toute entreprise non sud-africaine qui fait des affaires en Afrique du Sud doit se conformer au POPIA, que l'entreprise ait ou non une présence physique dans le pays.

Quel est le but de POPIA ?

En appliquant cette réglementation sur la protection des données, le gouvernement sud-africain vise à atteindre les trois objectifs suivants.

  1. Promouvoir la protection des informations personnelles traitées par des organismes publics et privés.
  2. Introduire certaines conditions afin d'établir des exigences minimales pour le traitement des informations personnelles.
  3. Réglementer le flux d'informations personnelles à travers les frontières de l'Afrique du Sud.

Quels sont les 8 principes couverts par POPIA ?

Responsabilité

Le premier principe implique la nécessité pour les organisations de nommer un préposé à l'information pour veiller au respect de la Loi.

Limite de traitement

Le deuxième principe permet de contrôler comment et quand les informations personnelles sont traitées. Il stipule qu'il doit être raisonnable, licite, minimal, avec consentement, preuve et sous réserve de l'objection de la personne concernée. Les informations personnelles doivent également être collectées directement auprès de la personne concernée.

Spécification d'objectif

Le troisième principe couvre la finalité de la collecte des informations et leur conservation. La finalité doit être spécifique, licite, explicite et ne doit pas être conservée plus longtemps que nécessaire pour atteindre la finalité pour laquelle elle a été collectée.

Limitation du traitement ultérieur

Le quatrième principe énonce les motifs pour lesquels le traitement des informations doit avoir lieu. Cela ne doit être que dans le but pour lequel vous avez collecté les informations et doit être conforme au but de la collecte dans le cadre du troisième principe.

Qualité des informations

Le cinquième principe envisage la qualité de l'information et stipule qu'elle doit être complète, exacte, non trompeuse, mise à jour et que la partie responsable doit s'en assurer.

Ouverture

Le sixième principe concerne la transparence du traitement et de la collecte des informations. Il indique votre responsabilité de conserver la documentation de tous les traitements d'informations et de faire savoir à la personne concernée tout ce qui concerne la collecte d'informations.

Mesures de sécurité

Le septième principe fait référence à votre responsabilité de sécuriser les informations et d'informer le régulateur et la personne concernée en cas de perte ou d'accès non autorisé aux données.

Participation des personnes concernées

Le huitième principe accorde à la personne concernée le droit d'accéder à ses informations, aux informations sur tout tiers ayant eu accès à ses informations, ainsi qu'à la correction et à la suppression de ses informations.

Quelles sont les exceptions sous POPIA ?

Bien que tous les principes ci-dessus doivent être suivis pour se conformer au POPIA, dans certains cas, un régulateur peut, par avis dans la Gazette, accorder une exemption à une partie responsable de traiter des informations personnelles, même si ce traitement enfreint une condition. Les circonstances pour accorder de telles exceptions sont,

  1. Dans les questions d'intérêt public, y compris la sécurité nationale, la prévention, la détection et la poursuite des infractions, les intérêts économiques et financiers importants, l'activité historique, statistique ou de recherche, la liberté d'expression
  2. Lorsque le traitement implique un avantage clair pour la personne concernée qui l'emporte sur l'ingérence dans la vie privée de la personne concernée.

Quelles sont les informations personnelles sous POPIA ?

Les informations personnelles désignent toute information relative à une personne identifiable, vivante, ou à des personnes morales (entreprises / organisations), y compris, mais sans s'y limiter -

  • Informations relatives à la race, au sexe, au sexe, à la grossesse, à l'état civil, à l'origine nationale, ethnique ou sociale, à la couleur, à l'orientation sexuelle, à l'âge, au handicap, à la religion, etc.
  • Informations relatives à l'éducation, aux antécédents médicaux, financiers, criminels ou professionnels, et informations biométriques
  • Identifiants tels que l'adresse e-mail, l'adresse physique, le numéro de téléphone, les données de localisation, les adresses IP d'identifiant en ligne, les cookies, les identifiants uniques, l'historique de recherche et de navigation

Quelles sont les sanctions en cas de non-conformité POPIA ?

Voici les conséquences en cas de non-conformité :

  • Sanctions administratives
    • Amendes pouvant atteindre 10 millions de rands et/ou 10 ans de prison par incident.
  • Avis d'exécution
    • Arrêtez de traiter les informations personnelles.
  • Action civile
    • Peut être acheté par les personnes concernées pour "détresse" payer des millions de dommages-intérêts à une action civile.
    • Subir une atteinte à la réputation.
  • Préoccupations générales
    • Perte de réputation et perte subséquente de clients et défaillance possible de l'organisation/de l'entreprise.

Qu'est-ce que le consentement dans POPIA ?

POPIA mentionne le consentement comme base juridique pour le traitement des informations personnelles et inclut des dispositions sur la manière dont le consentement doit être obtenu et peut être retiré. POPIA définit le consentement comme "l'expression volontaire, spécifique et informée de la volonté en vertu de laquelle l'autorisation est donnée pour le traitement des informations personnelles".

  • Le consentement doit être donné volontairement
  • Le consentement doit être obtenu dans un but précis et ne doit pas être vague ou ambigu
  • Informer correctement la personne concernée de ce à quoi elle consent, de la manière dont ses données seront traitées, etc.
  • Consentement éclairé

Comment mettre en conformité votre site WordPress avec POPIA ?

Les cookies étant considérés comme des identifiants en ligne dans POPIA, ils entrent dans le champ des informations personnelles. Cela signifie que votre site Web doit disposer d'un mécanisme de consentement aux cookies adéquat.

Si vous recherchez le bon outil pour aider votre site WordPress à se conformer à POPIA, le plugin CookieYes GDPR Cookie Consent and Compliance Notice est l'une des meilleures options. Sa version gratuite est suffisante pour vous aider à vous conformer.

Vous pouvez générer une bannière de cookie conforme pour votre site Web, afin d'obtenir le consentement préalable de l'utilisateur. Vous pouvez entièrement personnaliser le contenu, la mise en page, les couleurs, le comportement et afficher des bannières de cookies dans différentes langues.