Violation majeure de la loi sur la protection des données en Afrique du Sud : L'Organisme de Régulation de l'Information prend des mesures contre Dis-Chem

L'organisme de régulation de l’information en Afrique du Sud a émis, le 31 juillet 2023, un avis de mise en application à l'encontre de Dis-Chem Pharmacies Ltd (Dis-Chem) suite au constat de violations de la Loi sur la protection des renseignements personnels (LPRP). En réalité, Grapevine, le prestataire de services tiers de Dis-Chem, a été victime d'une attaque par force brute perpétrée par une entité non autorisée. Elle a pris connaissance de cette attaque le 1ᵉʳ mai 2022 grâce à des SMS envoyés à certains de ses employés. Par la suite, le 5 mai 2022, Dis-Chem a officiellement informé les autorités de régulation de cette atteinte à la sécurité.

Il s’agit en effet de 3,6 millions de dossiers de personnes concernées qui ont été consultés à partir de la base de données du service de déclaration électronique de Dis-Chem, qui était géré par Grapevine. Les données contenues dans cette base de données se limitaient aux noms, prénoms, adresses électroniques et numéros de téléphone portable des personnes concernées.

Suite au défaut de Dis-Chem de notifier les personnes concernées conformément à l'article 22 de la Loi sur la protection des informations personnelles, l'organisme de régulation a entrepris de son propre chef une évaluation de la violation de la sécurité. Après avoir mené cette évaluation, le régulateur a conclu que Dis-Chem avait compromis la protection des informations personnelles des personnes concernées, enfreignant ainsi les conditions relatives au traitement légitime de ces données.

Ainsi, l'avis d'exécution émis par l'organisme de réglementation ordonne à Dis-Chem, quelques obligations qui sont les suivantes :

•Effectuer une évaluation de l'impact sur les renseignements personnels pour s'assurer qu'il existe des mesures et des normes adéquates pour se conformer aux conditions du traitement légal des renseignements personnels tel qu'exigé par l'alinéa 4(1)b) de la LOPI.

• Mettre en œuvre les Normes de sécurité des données de l'industrie des cartes de paiement (PCIDSS) en maintenant un programme de gestion des vulnérabilités, mettre en œuvre des mesures de contrôle d'accès solides et maintenir une politique de sécurité de l'information.

•S'assurer qu'il conclut des contrats écrits avec tous les exploitants qui traitent des renseignements personnels en son nom, et que ces contrats obligent les exploitants à établir et à maintenir des mesures de sécurité identiques ou meilleures visées à l'article 19 de la LPRP. 

•Élaborer, mettre en œuvre, surveiller et maintenir un cadre de conformité, conformément à l'alinéa 4(1)a) du Règlement de la POPIA, qui prévoit clairement les obligations de déclaration de Dis-Chem et de tous ses exploitants en vertu de l'article 22 de la POPIA.

En conséquence, Dis-Chem doit remettre à l'organisme de contrôle un rapport sur la mise en œuvre des mesures imposées dans l'avis d'exécution.  Au cas contraire, elle sera accusée d'une infraction à laquelle l'organisme de réglementation pourra imposer une amende administrative d'un montant ne dépassant pas 10 millions de roupies ou sera passible d'une peine d'emprisonnement ou des deux.

Source: Le Réseau Africain des Autorités de Protection des Données Personnelles

Christelle HOUETO 
Journaliste digital