Loi australienne sur la confidentialité : conformité des entreprises et traitement des données

La loi australienne sur la confidentialité de 1988 (Cth) est la principale législation fédérale sur la confidentialité protégeant les informations personnelles des Australiens. Considérablement renforcé par la loi modifiant la législation sur la confidentialité (amélioration de la confidentialité en ligne et autres mesures) de 2021 et la loi modifiant la législation sur la confidentialité et autres lois de 2024, le cadre australien de protection de la vie privée connaît sa réforme la plus substantielle depuis l'introduction des principes australiens de confidentialité (APP) en 2014.

Les réformes de 2024 ont introduit un délit légal pour atteinte grave à la vie privée, augmenté considérablement les sanctions (jusqu'à 50 millions de dollars australiens par infraction), élargi les pouvoirs d'application du Bureau du commissaire australien à l'information (OAIC) ​​et ajouté de nouvelles obligations en matière de conservation des données, de marketing direct et de transparence algorithmique. Comprendre à la fois le cadre APP existant et les nouvelles réformes est essentiel pour toute organisation opérant en Australie.

Points clés à retenir

• La loi sur la protection de la vie privée s'applique aux agences gouvernementales australiennes et aux organisations du secteur privé dont le chiffre d'affaires annuel est supérieur à 3 millions de dollars (seuil plus bas avec les réformes)
• Treize principes australiens de confidentialité (APP) régissent la collecte, l'utilisation, la divulgation, la qualité, la sécurité, l'accès et la correction des informations personnelles.
• Le système Notifiable Data Breaches (NDB) exige une notification à l'OAIC et aux personnes concernées dans les 30 jours suivant une violation admissible.
• Les réformes de 2024 ont introduit : un délit légal relatif à la vie privée, des sanctions plus élevées (50 millions de dollars australiens), des droits d'action directe pour les individus et de nouvelles obligations en matière de vie privée pour les enfants.
• Les informations sensibles (santé, origine raciale, biométrie, religion, orientation sexuelle, etc.) nécessitent un consentement explicite pour leur collecte et leur utilisation
• Les restrictions de divulgation transfrontalière exigent la responsabilité des destinataires étrangers d'informations personnelles
• L'OAIC peut effectuer des vérifications, accepter des plaintes et renvoyer des affaires graves pour des poursuites civiles en matière de sanctions devant la Cour fédérale.
• Les réformes introduiront un code de confidentialité en ligne pour les services destinés aux enfants

---

Qui doit se conformer à la Loi sur la protection des renseignements personnels

Seuils de couverture

La Loi sur la protection des renseignements personnels s'applique à :

Agences gouvernementales australiennes : tous les départements et agences du gouvernement du Commonwealth, ainsi que certaines agences d'État/territoire dans certains contextes.

Entités APP (secteur privé) : organisations dont le chiffre d'affaires annuel dépasse 3 millions de dollars au cours de n'importe quel exercice. Ce seuil a fait l'objet de discussions sur la réforme : des propositions visant à abaisser ou à éliminer le seuil pour couvrir davantage d'entreprises sont en cours.

Petites entreprises ayant des activités spécifiques : Quel que soit le chiffre d'affaires, la loi sur la protection de la vie privée s'applique si l'organisation :

• Est un prestataire de services de santé (y compris en cabinet privé)
• Commerce d'informations personnelles
• Est un fournisseur de services sous contrat avec le gouvernement australien
• A adhéré à la loi sur la protection de la vie privée
• Exploite une base de données de locations résidentielles
• Est lié à une entité couverte par la Loi

Portée extraterritoriale : la loi sur la protection de la vie privée s'applique aux organisations australiennes et à leurs activités à l'étranger. Les entités offshore sans présence australienne qui collectent des informations personnelles sur des Australiens via un lien australien (par exemple, un serveur australien, une relation commerciale australienne) peuvent également être soumises à la loi.

Principales exemptions

• Dossiers des employés (pour les organisations du secteur privé en relation avec leur relation de travail)
• Journalisme et médias (organismes de presse enregistrés concernant les activités journalistiques)
• Actes accomplis en dehors de l'Australie par des citoyens/résidents australiens (exemption complexe)
• Petites entreprises en dessous du seuil de chiffre d'affaires (sauf exceptions notées ci-dessus)

---

Les principes australiens de confidentialité (APP)

Les treize APP forment le cadre substantiel pour le respect de la confidentialité :

APP 1 — Gestion ouverte et transparente : Avoir une politique de confidentialité clairement exprimée et à jour. Mettez-le à disposition sur demande, gratuitement.

APP 2 — Anonymat et pseudonymat : lorsque cela est légal et réalisable, donnez aux individus la possibilité d'interagir avec vous de manière anonyme ou en utilisant un pseudonyme.

APP 3 — Collecte d'informations personnelles sollicitées : Ne collectez que les informations personnelles raisonnablement nécessaires à vos fonctions. Collectez des informations sensibles uniquement avec le consentement (ou dans des circonstances spécifiques). Collectez directement auprès de l'individu lorsque cela est raisonnablement possible.

APP 4 — Traitement des informations personnelles non sollicitées : Si vous recevez des informations personnelles que vous n'avez pas sollicitées et que vous n'auriez pas été autorisé à collecter en vertu de l'APP 3, détruisez-les ou anonymisez-les dès que possible.

APP 5 — Notification de la collecte : Au plus tard lors de la collecte (ou dès que possible après), prenez des mesures raisonnables pour informer les individus de : qui vous êtes, comment vous contacter, si la collecte est requise par la loi, les objectifs de la collecte, les conséquences de la non-communication des informations, qui d'autre pourrait recevoir les informations et comment y accéder/les corriger.

APP 6 — Utilisation ou divulgation d'informations personnelles : Utiliser ou divulguer des informations personnelles uniquement dans le but principal de la collecte, dans un but secondaire connexe auquel l'individu pourrait raisonnablement s'attendre, avec son consentement, ou dans le cadre d'une exception spécifique APP 6 (requise par la loi, l'application de la loi, la santé/sécurité).

APP 7 — Marketing direct : Ne doit pas utiliser ou divulguer des informations personnelles à des fins de marketing direct à moins que les conditions ne soient remplies (fournies par la personne, consentement pour les informations sensibles, mécanisme de désabonnement fourni). Les particuliers peuvent demander à se désinscrire.

APP 8 — Divulgation transfrontalière : Avant de divulguer des informations personnelles à des destinataires étrangers, prenez des mesures raisonnables pour vous assurer que le destinataire ne viole pas les APP. Vous restez responsable du traitement du destinataire à l’étranger. Divulgation autorisée si la personne y consent ou si le destinataire se trouve dans un pays avec des lois substantiellement similaires.

APP 9 — Adoption, utilisation ou divulgation d'identifiants gouvernementaux : Restrictions sur l'utilisation d'identifiants gouvernementaux (par exemple, numéro Medicare, référence Centrelink) à des fins du secteur privé.

APP 10 — Qualité des informations personnelles : Prendre des mesures raisonnables pour garantir que les informations personnelles sont exactes, à jour et complètes avant la collecte, l'utilisation ou la divulgation.

APP 11 — Sécurité des informations personnelles : Prendre des mesures raisonnables pour protéger les informations personnelles contre toute utilisation abusive, interférence, perte et contre tout accès, modification ou divulgation non autorisés. Détruisez ou anonymisez les informations personnelles lorsqu’elles ne sont plus nécessaires.

APP 12 — Accès aux renseignements personnels : Fournir aux individus l'accès à leurs renseignements personnels dans un délai de 30 jours, dans le format demandé lorsque cela est raisonnable. Les exceptions incluent : lorsque l'accès présenterait une menace sérieuse ou un impact déraisonnable sur la vie privée d'autrui, l'accès serait illégal.

APP 13 — Correction des informations personnelles : Sur demande (ou de votre propre initiative), corrigez les informations personnelles inexactes, incomplètes, périmées, non pertinentes ou trompeuses. Si vous refusez de corriger, avisez la personne et permettez-lui d'associer une déclaration de correction à son dossier.

---

Informations sensibles

La Loi sur la protection des renseignements personnels définit les informations sensibles comme un sous-ensemble de renseignements personnels nécessitant une norme de protection plus élevée. Les informations sensibles comprennent :

• Informations sur la santé
• Informations génétiques
• Informations biométriques à des fins d'identification
• Origine raciale ou ethnique
• Opinions politiques
• Croyances religieuses ou philosophiques
• Orientation ou pratiques sexuelles
• Affiliation syndicale
• Informations sur le casier judiciaire
• Détails d'identification émis par le gouvernement

APP 3.3 : Les organisations ne peuvent collecter des informations sensibles que si :

• La personne a consenti et la collecte est raisonnablement nécessaire aux fonctions de l'organisation ; ou
• L'une des huit exceptions spécifiques s'applique (requise par la loi, prévention d'une menace grave, etc.)

Informations sur la santé : bénéficie de protections supplémentaires : les prestataires de services de santé sont couverts quel que soit le chiffre d'affaires, et les directives spécifiques en matière de confidentialité en matière de santé émises par l'OAIC s'appliquent.

---

Programme de violations de données à notifier (NDB)

Le système NDB (partie IIIC de la loi sur la protection de la vie privée) exige que les entités APP informent l'OAIC et les personnes concernées des violations de données éligibles.

Qu'est-ce qu'une violation de données éligible ?

Une violation de données éligible se produit lorsque :

1. Il y a accès non autorisé, divulgation ou perte d'informations personnelles détenues par une entité ; et
2. Une personne raisonnable conclurait que l'accès/la divulgation/la perte est susceptible d'entraîner un préjudice grave à l'une des personnes concernées par les informations.

Évaluation des dommages graves : Tenez compte du type d'informations, de leur caractère sensible, de l'application ou non d'une technologie de sécurité, de ceux qui y ont accédé/reçu et des dommages potentiels (financiers, physiques, psychologiques, de réputation).

Chronologie des notifications

Les violations de données d'urgence – lorsqu'il est probable qu'il y ait un préjudice grave et que les entités en sont immédiatement conscientes – doivent être notifiées à l'OAIC et aux individus dès que possible, sans attendre 30 jours.

Contenu de la notification OAIC :

• Nom de l'entité et coordonnées
• Description du manquement
• Catégories de personnes touchées et nombre approximatif
• Informations concernées (type et nombre approximatif d'enregistrements)
• Mesures prises ou prévues en réponse

---

Les réformes de la loi sur la protection de la vie privée de 2024

La loi modifiant la loi de 2024 sur la protection de la vie privée et d’autres lois (promulguée en novembre 2024) a introduit des changements importants. Les réformes clés comprennent :

Délit légal pour atteinte à la vie privée

Une nouvelle cause d'action légale permet aux individus de poursuivre directement des organisations pour atteinte grave à la vie privée devant la Cour fédérale, sans nécessiter l'intervention de l'OAIC. Les recours comprennent des dommages-intérêts (y compris des dommages aggravés et exemplaires), des injonctions et une comptabilité des bénéfices. Ce droit d’action privé augmente considérablement le risque de litige pour les entreprises.

Deux types d'invasion : (1) Intrusion lors de l'isolement – intrusion physique ou électronique dans les affaires privées ; (2) Utilisation abusive d’informations privées – collecte, utilisation ou divulgation d’informations privées.

Une invasion ne donne lieu à une action que si une personne raisonnable la considère comme très offensante et si le demandeur avait une attente raisonnable en matière de vie privée dans les circonstances.

Pénalités plus élevées

La sanction civile maximale en cas d'atteinte grave ou répétée à la vie privée est passée à 50 millions de dollars AUD par infraction (contre 2,22 millions de dollars auparavant). Les tribunaux peuvent également ordonner des sanctions basées sur trois fois le bénéfice tiré de l'infraction, ou 30 % du chiffre d'affaires australien au cours de la période d'infraction, selon le montant le plus élevé. Ces sanctions correspondent aux sanctions les plus élevées prévues par la loi australienne sur la concurrence.

Pouvoirs étendus de l'OAIC

L'OAIC compte désormais :

• Pouvoir de mener des enquêtes de sa propre initiative sans déposer de plainte
• Pouvoirs de notification d'infraction pour les infractions moins graves
• Pouvoirs de demander une enquête préalable et des injonctions provisoires
• Possibilité de partager des informations avec les autorités étrangères chargées de la protection de la vie privée

Code de confidentialité en ligne pour les enfants

La loi de 2024 crée un cadre pour un Code de confidentialité en ligne pour les enfants — des exigences obligatoires pour les services en ligne destinés aux enfants (ceux de moins de 18 ans qui ont un âge pertinent pour le service). Le code imposera des obligations spécifiques en matière de minimisation des données, de transparence envers les parents et de conception adaptée aux enfants. Le développement est en cours ; les organisations devraient suivre les développements de l’OAIC.

Réformes du marketing direct

Restrictions renforcées sur le marketing direct : les individus peuvent refuser la publicité ciblée en fonction de leurs informations personnelles, y compris le profilage à des fins de publicité ciblée.

Transparence de la prise de décision automatisée

Nouvelles exigences de transparence sur les décisions automatisées importantes utilisant des informations personnelles : les organisations doivent être en mesure d'expliquer la logique des décisions automatisées ayant des effets significatifs sur les individus.

---

Divulgation transfrontalière (APP 8)

L'APP 8 est l'une des applications les plus mal comprises. Lorsque vous divulguez des informations personnelles à des destinataires étrangers :

Règle par défaut : Vous devez prendre des mesures raisonnables pour vous assurer que le destinataire étranger ne viole pas les APP en ce qui concerne ces informations. Vous restez responsable du traitement du destinataire à l'étranger.

Exception au consentement : vous pouvez divulguer des informations au-delà des frontières sans rester responsable si vous avez expressément informé la personne que vous pourriez partager ses informations avec des destinataires étrangers et que vous ne pourriez pas être responsable du traitement effectué par le destinataire étranger — et de l'individu consent.

Exception d'adéquation : divulgation autorisée si l'OAIC a déterminé que le pays d'outre-mer dispose de protections de la vie privée substantiellement similaires.

Implications pratiques pour le cloud et le SaaS :

• Si votre fournisseur de cloud stocke des données en dehors de l'Australie, l'APP 8 s'applique
• Vous ne pouvez pas simplement vous référer aux conditions du fournisseur de cloud : vous devez prendre des mesures raisonnables (protections contractuelles, évaluations de sécurité)
• Si les données sont stockées dans plusieurs régions internationales, chaque emplacement constitue une divulgation potentielle

---

Processus d'application et de plainte de l'OAIC

Voie de réclamation :

1. L'individu dépose une plainte auprès de l'organisation (l'organisation dispose de 30 jours pour répondre)
2. Si le problème n'est pas résolu ou si l'entité ne répond pas, la personne peut porter plainte auprès de l'OAIC.
3. L'OAIC concilie la plainte ; si le problème n'est pas résolu, l'OAIC peut enquêter
4. L'OAIC peut prendre une décision, y compris ordonner une indemnisation.

Procédures civiles en matière de sanctions :

• L'OAIC renvoie les affaires sérieuses à la Cour fédérale
• Le tribunal peut imposer des sanctions civiles (jusqu'à 50 millions de dollars)
• L'OAIC peut également accepter des engagements exécutoires

Enquêtes réglementaires :

• L'OAIC peut ouvrir des enquêtes de sa propre initiative
• Peut exiger des entités qu'elles fournissent des informations, assistent à des entretiens, produisent des documents
• Peut réaliser des audits (planifiés ou inopinés)

Mesures coercitives notables : L'OAIC a poursuivi des affaires majeures, notamment Uber Technologies (violation du système NDB), RI Advice Group (sécurité inadéquate) et la Commission électorale australienne (défaillance de la sécurité APP 11). La violation de données Optus (2022, affectant 9,8 millions d'Australiens) et la violation de Medibank (2022, 9,7 millions de clients) ont suscité une attention réglementaire et législative importante.

---

Liste de contrôle de conformité en matière de confidentialité en Australie

• Applicabilité de la Loi sur la protection des renseignements personnels confirmée (seuil de chiffre d'affaires, activités spécifiques)
• Politique de confidentialité publiée, à jour et couvre toutes les applications
• Notification APP 5 fournie au point de collecte (avis de collecte sur tous les formulaires de saisie de données)
• Informations sensibles identifiées — consentement obtenu pour la collecte
• Minimisation des données examinée – collecte uniquement des informations raisonnablement nécessaires -[ ] APP 6 évaluation de l'utilisation/divulgation secondaire documentée
• Mécanisme de désinscription pour le marketing direct mis en œuvre (APP 7)
• Évaluation de la divulgation à l'étranger terminée — mesures raisonnables pour garantir la conformité du destinataire au PPA (APP 8)
• Mesures de sécurité des données mises en œuvre et documentées (APP 11)
• Politique de conservation et de destruction/désidentification des données mise en œuvre (APP 11.2)
• Procédures individuelles d'accès et de correction documentées (APP 12, 13)
• Procédure de réponse NDB documentée et testée (délai d'évaluation de 30 jours)
• Modèle de notification de violation OAIC préparé
• Examen des pratiques en matière de données sur les enfants — préparez-vous au Code de confidentialité en ligne pour les enfants
• Examen automatisé de la transparence de la prise de décision effectué
• Formation du personnel sur les APP et le programme NDB terminée

---

Questions fréquemment posées

La Loi sur la protection des renseignements personnels s'applique-t-elle à ma petite entreprise ?

De manière générale, la Loi sur la protection des renseignements personnels ne s'applique qu'aux organisations du secteur privé dont le chiffre d'affaires annuel dépasse 3 millions de dollars. Cependant, vous pouvez être couvert quel que soit le chiffre d'affaires si vous êtes un prestataire de services de santé, si vous échangez des informations personnelles, si vous êtes un entrepreneur gouvernemental, si vous exploitez une base de données de locations résidentielles ou si vous êtes lié à une entité couverte. De plus, les lois des États/territoires sur la confidentialité peuvent s'appliquer à vos activités commerciales, en particulier dans le Queensland, la Nouvelle-Galles du Sud et Victoria pour des secteurs spécifiques.

Qu'est-ce qui est considéré comme une « information sensible » en vertu de la loi australienne ?

Les informations sensibles sont une catégorie définie comprenant les informations sur la santé, les informations génétiques, les informations biométriques (pour une identification unique), l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'orientation ou les pratiques sexuelles, l'appartenance syndicale et les informations sur le casier judiciaire. La collecte d’informations sensibles nécessite le consentement et doit être raisonnablement nécessaire à vos fonctions. Les informations sur la santé bénéficient des protections les plus complètes et des conseils supplémentaires de l'OAIC.

Quelle est la période d'évaluation de 30 jours dans le cadre du régime NDB ?

Lorsqu’une organisation prend conscience qu’une violation de données a pu se produire, elle dispose de 30 jours pour procéder à une évaluation et déterminer s’il s’agit d’une violation de données éligible (susceptible d’entraîner un préjudice grave). Au cours de cette période de 30 jours, les organisations doivent enquêter sur ce qui s'est passé, quelles informations ont été impliquées, qui a été affecté et si un préjudice grave est probable. Si une violation éligible est identifiée, la notification à l'OAIC et aux personnes concernées doit être effectuée dès que possible – il n'y a pas de période d'attente supplémentaire une fois que la détermination de la violation éligible est faite.

Comment l'APP 8 s'applique-t-elle lors de l'utilisation d'AWS ou d'Azure en Australie ?

Si vous utilisez les services AWS ou Azure déployés entièrement dans des centres de données australiens (AWS ap-southeast-2 Sydney, Azure Australia East), vous n'aurez peut-être pas de problème de divulgation à l'étranger : les données restent en Australie. Si vous utilisez des services dotés d'une infrastructure mondiale (réseaux de diffusion de contenu, réplication mondiale, accès à l'assistance depuis l'étranger), vous divulguez peut-être des données à l'étranger. Lisez attentivement la documentation sur le traitement des données de votre fournisseur de cloud. De nombreux fournisseurs offrent des garanties australiennes de résidence des données et des accords de traitement des données couvrant les exigences de l'APP 8 grâce à des protections contractuelles pour le sous-traitement à l'étranger.

Quel est le nouveau délit légal en matière de vie privée et comment affecte-t-il les entreprises ?

Le délit statutaire (introduit par les réformes de la Loi sur la protection de la vie privée de 2024) crée un droit direct pour les individus de poursuivre des organisations devant la Cour fédérale pour de graves atteintes à la vie privée sans passer par l'OAIC. Il existe deux catégories : l'intrusion dans l'isolement et l'utilisation abusive d'informations privées. Le délit s'applique lorsqu'une personne raisonnable considérerait l'invasion comme hautement offensante et que l'individu avait une attente raisonnable en matière de vie privée. Les recours potentiels comprennent des dommages-intérêts compensatoires, des dommages-intérêts majorés, des dommages exemplaires, des injonctions et une comptabilité des bénéfices. Cela augmente considérablement le risque de litige pour les entreprises traitant des informations personnelles : les recours collectifs constituent désormais une perspective réaliste de violations graves de données.

---

Prochaines étapes

Les réformes de la loi australienne sur la protection de la vie privée signalent une évolution vers une application plus stricte, des sanctions plus élevées et des droits individuels plus étendus, ce qui s'aligne davantage sur les normes mondiales. Que vous évaluiez la conformité pour la première fois ou que vous mettiez à jour votre programme pour tenir compte des réformes de 2024, l'équipe d'ECOSIRE peut vous aider à concevoir des systèmes de confidentialité dès la conception et des processus de conformité adaptés à votre entreprise.

Commencez : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. La loi australienne sur la protection de la vie privée fait l'objet d'une réforme en cours. Consultez un conseiller juridique australien qualifié pour obtenir des conseils spécifiques à votre organisation.