Nouvelles lois sur la protection des données en Afrique du Sud

La loi sud-africaine sur la protection des données personnelles est généralement appelée "loi POPI". À une époque où les données personnelles sont régulièrement partagées avec des tiers, la loi POPI protège ces données personnelles. La loi POPI réglemente, entre autres, la collecte, l'utilisation et le traitement légaux des données personnelles en Afrique du Sud.

La loi POPI a introduit les huit exigences minimales suivantes concernant le traitement des données personnelles : i) Responsabilité ; ii) Limitation du traitement ; iii) Spécification de la finalité ; iv) Limitation du traitement ultérieur ; v) Qualité de la donnée ; vi) Transparence ; vii) Garanties de sécurité ; et viii) Participation de la personne concernée.

Toute personne physique ou morale qui est en possession de données personnelles d’autrui doit se conformer aux dispositions de la loi POPI.

La loi POPI a institué un régulateur des données (le Régulateur) pour superviser son application. Les entreprises et les organisations sont tenues de désigner un responsable des données auprès du Régulateur, dont le rôle est, notamment, de contrôler et diriger la conformité à la loi POPI.

Trois parties principales sont identifiées dans la loi POPI lorsqu'il s'agit de données personnelles - i) la personne concernée, à laquelle les données se rapportent ; ii) la personne responsable, qui sollicite généralement les données de la personne concernée et détermine comment elles sont traitées ; et iii) l'opérateur, qui traite les données au nom de la personne responsable. La charge de la licéité de la protection et du traitement des données personnelles pèse sur la personne responsable. La personne responsable doit adopter les mesures nécessaires pour assurer le respect de la loi POPI, afin d'empêcher l'utilisation illicite des données personnelles et le dommage potentiel aux personnes concernées.

La loi POPI a été approuvée par le Parlement sud-africain en 2013. Le président de l'Afrique du Sud a proclamé la date d'entrée en vigueur de la loi POPI au 1er juillet 2020, sous réserve d'une période de transition de 12 mois pour se conformer à toutes les dispositions concernées. En conséquence, la mise en conformité totale doit intervenir au plus tard le 1er juillet 2021. Les sanctions en cas de non-conformité peuvent inclure des amendes, des peines d'emprisonnement et des indemnités à verser aux personnes concernées au titre des dommages subis. Toute personne susceptible de collecter, d'utiliser ou de traiter des données personnelles telles que définies dans la loi POPI en Afrique du Sud a tout intérêt à s'assurer de la conformité à la date prévue de toutes les dispositions relatives à la protection des données pertinentes et applicables.