Les géants étrangers de la technologie ont averti Le projet de loi travailliste sur la protection de la vie privée, qui augmente les sanctions en cas de violation de données, semble « aller trop loin » en ciblant leurs clients étrangers.

Digital Industry Group Inc (Digi), qui représente Meta, Google et Twitter, le Business Council et le Tech Council of Australia, ont mis en garde contre « l’erreur de rédaction involontaire » d’une enquête examinant le projet de loi urgent.

Certains intervenants s’opposent également aux pénalités de 50 millions de dollars ou plus en réclamant davantage de défenses contre les dispositions relatives aux atteintes à la protection des données, notamment en prenant des mesures raisonnables pour sécuriser les données.

Le procureur général, Mark Dreyfus, a proposé le nouveau projet de loi sur la protection de la vie privée après la violation de données chez Optus, appelant à son adoption en 2022 pour obliger les entreprises à faire davantage pour protéger les données des clients, une préoccupation fortifié par la brèche à Medibank.

Le projet de loi augmente les pénalités pour les violations de données graves ou répétées de 2,2 millions de dollars à ce qui est plus élevé: 50 millions de dollars; trois fois la valeur de tout avantage obtenu par l’utilisation abusive de renseignements; soit 30% du chiffre d’affaires ajusté d’une entreprise.

Il modifie également la compétence de la Vie privée Loi visant à garantir que les organisations étrangères qui exercent une activité en Australie doivent respecter les obligations prévues par la loi. Cela s’applique même s’ils ne collectent pas ou ne détiennent pas les informations des Australiens directement auprès d’une source en Australie.

La disposition semble conçue pour prévenir les litiges juridiques comme celui de Facebook. Requête devant la Haute Cour qu’elle ne peut être tenue responsable des violations de données liées au scandale Cambridge Analytica parce qu’elle « exerce ses activités en Australie ».

Digi a soumis à l’enquête de la commission des affaires juridiques et constitutionnelles du Sénat qu’il soutenait « des sanctions renforcées pour les violations graves ».

Mais il a déclaré que le projet de loi semblait signifier « si une société offshore exerce ses activités en Australie en fournissant des services aux utilisateurs finaux australiens, alors la loi australienne sur la protection de la vie privée s’appliquerait également au traitement par cette société des informations sur les utilisateurs dans toute autre juridiction où ses services sont disponibles ».

« Il n’est pas clair pourquoi les lois australiennes cherchent à réglementer la gestion des informations personnelles qui n’ont aucun lien direct avec l’Australie ou avec les Australiens. »

La BCA a fait valoir qu’il semblait s’agir d’une « erreur de rédaction involontaire » qui signifierait qu’une entreprise américaine ayant des utilisateurs australiens pourrait être tenue responsable de la façon dont elle traite les données de ses utilisateurs étrangers.

La BCA a demandé un amendement afin que le projet de loi « ne s’étende pas à la réglementation des informations sans lien direct avec l’Australie ou ne mette potentiellement pas les lois australiennes en conflit direct avec les lois d’autres juridictions ».

Le Tech Council a déclaré qu’un amendement devrait préciser que « les informations personnelles collectées ou détenues doivent concerner une personne située en Australie ».

Dans sa communication, le ministère de la Justice a déclaré que la disposition relative à la compétence était nécessaire car « avec l’évolution de la technologie, il peut être difficile d’établir que des organisations étrangères collectent ou détiennent des informations personnelles directement depuis l’Australie ».