- La comparaison
- Tutoriels
- DIFC aligne la nouvelle loi sur la protection des données avec les meilleures pratiques internationales
La loi sur la protection des données DIFC ne stipule pas de limite maximale pour les amendes, comme le RGPD, mais donne au commissaire le pouvoir discrétionnaire d'imposer une amende générale en plus des amendes administratives, a déclaré un avocat de renom. Les violations du GDPR peuvent entraîner des amendes administratives importantes pouvant aller jusqu'à 10 millions d'euros ou 20 millions d'euros ou 2% ou 4% du chiffre d'affaires mondial annuel total d'une organisation pour l'exercice précédent, conformément à la disposition de la loi qui a été violé. . Cependant, Kellie Blyth, avocate et directrice des données et de la technologie de Baker McKenzie Habib Al Mulla, a déclaré que le commissaire peut également imposer des amendes administratives pour violation des obligations spécifiques du DIFC énoncées à l'annexe 2 et allant de 20,000 100,000 € à 62 XNUMX €. Elle a déclaré que les amendes administratives se rapportent à des infractions spécifiques, mais dans de nombreuses circonstances, il y aura plusieurs infractions qui pourraient donner au commissaire le pouvoir discrétionnaire d'imposer une amende générale d'un montant qu'il juge approprié et proportionné. La gravité du crime et le risque. préjudice réel aux personnes concernées. "Si le commissaire trouve cela justifié, il peut imposer une amende en plus de celles prévues par la loi. Il est très peu probable que cette amende soit infligée pour un manquement spécifique, mais plutôt pour tous les manquements. Nous l'avons vu dans d'autres pays où il est évident que les défaillances étaient systémiques et montraient un mépris général de la part de l'entreprise pour la loi et les droits à la vie privée », a-t-il déclaré. L'article XNUMX de la loi, a-t-il dit, donne au conseil d'administration de l'autorité DIFC le droit d'introduire des réglementations relatives à l'imposition et au recouvrement des amendes et, par conséquent, une nouvelle réglementation pourrait être introduite dans ce domaine à l'avenir.
Obligations légales
La nouvelle loi est entrée en vigueur le 1er juillet 2020. Cependant, les organisations avaient jusqu'au 1er octobre 2020 pour s'y conformer afin de prendre en compte l'impact de la pandémie de Covid-19 sur les opérations commerciales et donner pour ce qu'elles ont encore quelques mois pour apporter les modifications nécessaires pour mettre leurs cadres de conformité en conformité avec la nouvelle loi. Cependant, Blyth a déclaré qu'il était raisonnable de s'attendre à ce que le commissaire détermine les amendes en appliquant ces critères de la même manière aux régulateurs de l'UE, tels que la CNIL (Commission nationale pour la protection des données) en France. La CNIL a infligé à Google une amende de 57 millions d'euros en janvier 2019 pour avoir commis diverses infractions au RGPD. L'amende a été évaluée en fonction des cinq facteurs suivants : le type d'infraction, l'étendue de l'infraction, le fait qu'elle était en cours, le fait qu'elle affectait de nombreuses personnes et la taille du groupe Google/Alphabet. Google a fait appel de l'amende, mais la plus haute juridiction administrative française a rejeté l'appel en juin 2019. à qui les données personnelles se rapportent), le commissaire imposerait probablement une amende générale ainsi que des amendes », a déclaré Blyth. Cependant, il a déclaré que la loi ne contient pas de dispositions similaires à l'article 3 du RGPD, qui donne au règlement de l'UE son effet extraterritorial étendu. "Lorsqu'un ou plusieurs des critères alternatifs de l'article 3 sont remplis, l'entreprise en question sera soumise aux exigences du RGPD. Toutefois, la portée plus limitée de la loi DIFC ne signifie pas que la loi n'a pas d'effet extraterritorial. Il existe certains scénarios dans lesquels une société, constituée en dehors du DIFC, pourrait être soumise aux exigences de la loi », a-t-il déclaré. Le premier est celui où une société DIFC non constituée en société nomme un fournisseur de services DIFC incorporé pour traiter les données personnelles en son nom. Par exemple, une entreprise basée aux Émirats arabes unis nomme un administrateur tiers au DIFC pour gérer son régime d'avantages sociaux. L'autre exemple est celui où une société constituée en société DIFC est désignée par une société constituée en société DIFC pour fournir des services.
Un pas dans la bonne direction
Conformément à la loi, Blyth a déclaré que les sous-traitants sont directement soumis à certaines obligations légales, notamment l'obligation de mettre en œuvre un niveau de sécurité adéquat et des mesures organisationnelles et techniques adéquates pour démontrer que le traitement est effectué conformément à la loi "Le niveau et la le détail de ces mesures doit refléter l'étendue et les ressources du responsable du traitement, ainsi que la nature des données traitées et le risque que le traitement fait peser sur les personnes concernées. "Conformément à la loi, ce traitement doit également être effectué dans le cadre d'un accord juridiquement contraignant qui reflète diverses exigences de la loi (équivalentes aux exigences de l'article 28 du RGPD. Il convient de noter que ces exigences s'appliqueront également aux sous-traitants ultérieurs (c'est-à-dire les sous-traitants nommés par le sous-traitant principal pour effectuer certaines des activités de traitement de données) », a-t-il déclaré. Une violation de données personnelles est définie par la loi comme une violation de la sécurité qui entraîne la destruction, la perte, la modification accidentelle ou illégale, la divulgation non autorisée ou l'accès à des données personnelles. En pratique, il a affirmé qu'une violation de données pourrait se produire en dehors du DIFC, par exemple en compromettant des serveurs ou une installation de stockage de documents située à terre aux EAU ou ailleurs, déclenchant une obligation de notification de violation de données en vertu de la loi. Lorsqu'une violation de données à caractère personnel se produit, il a déclaré qu'un responsable du traitement des données est tenu d'informer immédiatement le responsable du traitement (c'est-à-dire l'entité qui a ordonné le traitement) pour prendre connaissance de la violation. "Si une violation compromet la confidentialité, la sécurité ou la vie privée d'une personne concernée, le responsable du traitement (c'est-à-dire l'entité qui détermine la finalité et les moyens du traitement) doit en informer le DIFC Data Protection Commissioner dans les meilleurs délais compte tenu des circonstances. En particulier, il n'y a pas de délai de préavis de 72 heures pour faire cette notification, comme c'est le cas dans le cadre du RGPD », a-t-il déclaré. Même si le traitement des données personnelles à des fins personnelles et non commerciales n'entre pas dans le champ d'application de la loi, elle a précisé qu'il existe également des seuils de minimis applicables à certaines exigences. "La loi est mieux considérée comme un changement radical conçu pour obliger les organisations à intégrer la conformité à la protection des données dans leurs opérations et à aligner le cadre juridique du DIFC sur les meilleures pratiques internationales", a-t-il ajouté. .