En octobre 2021, plusieurs bases de données israéliennes ont été piratées, la plus connue étant celle de l'application de rencontres gay, Atraf (l'équivalent israélien de Grindr, qui a pris sa place lors de son effondrement). En un instant, des informations personnelles hautement sensibles (y compris des détails très confidentiels, des photos de nu, etc.) ont été révélées, et de nombreux utilisateurs (y compris ceux n'ayant pas encore fait leur coming-out) sont entrés dans un état littéral d'« Atraf » (mot d'argot israélien signifiant « frénésie »), par peur que leur identité ou leurs données ne soient dévoilées. L'affaire a finalement abouti à une enquête de l'Autorité israélienne de protection de la vie privée pour suspicion de négligence, dont le résultat reste inconnu.
Deux ans et demi plus tard, début 2024, l'application Atraf a repris vie et, presque simultanément, l'Amendement 13 à la Loi israélienne sur la protection de la vie privée a été approuvé. Ses dispositions entreront en vigueur en août 2025 afin d'actualiser et de clarifier la législation en la matière. L'amendement établit des dispositions nouvelles et avancées et fournit des outils d'application efficaces adaptés aux défis de l'ère numérique, dans le but d'accroître la protection du droit fondamental à la vie privée et de renforcer la lutte contre les cybermenaces.
Il impose une responsabilité aux entreprises dans le domaine de la protection de la vie privée et accroît la surveillance de la détention et du commerce de bases de données, tout en imposant de lourdes sanctions financières en cas d'infraction. Il crée également une responsabilité personnelle pour les administrateurs et les dirigeants. Cela signifie que si une entreprise ne veille pas à protéger la vie privée de ses clients, ses administrateurs et dirigeants peuvent être tenus personnellement responsables, tant au niveau civil que pénal.
L'amendement corrige aussi une distorsion historique de la loi, qui exigeait en pratique que presque toute petite entreprise détienne une licence de base de données (une exigence impossible à faire respecter dans les faits). Après l'amendement, l'enregistrement des petites bases de données n'est plus nécessaire, à l'exception de celles destinées à l'échange d'informations. Il actualise et clarifie également la question de ce qui est considéré comme « données sensibles », pour lesquelles il existe une obligation de signalement quelle que soit la taille de la base de données, le tout en conformité avec les normes internationales, y compris le Règlement général sur la protection des données (RGPD) de l'UE.
Bien que la loi ne détermine pas actuellement de manière explicite l'identité de l'entité corporative chargée de superviser la mise en œuvre des exigences, un document de position de l'Autorité israélienne de protection de la vie privée daté de janvier 2024 établit des obligations détaillées incombant au conseil d'administration. Il exige que les membres du conseil participent non seulement à la supervision et au contrôle, mais qu'ils approuvent également les procédures de sécurité de l'information, mènent des études de risques et garantissent la protection des données.
Cela crée une norme de diligence et expose les administrateurs à une responsabilité personnelle, de manière similaire à ce qui a été décidé, par exemple, dès 1996 par la Cour du Delaware (États-Unis), où les actionnaires de la société Caremark ont intenté une action dérivée contre les administrateurs, arguant qu'ils n'avaient pas mis en place de contrôles internes adéquats. Dans cette affaire, la Cour américaine a soutenu que le conseil d'administration de l'entreprise avait manqué à son devoir de mettre en œuvre des systèmes de contrôle et de les surveiller.
À la lumière de ce qui précède, il est extrêmement important que toute entreprise détenant une base de données mette en place des procédures adéquates et un plan de conformité interne qui garantissent non seulement la protection des données, mais protègent également les administrateurs et les dirigeants en cas de risque pour l'information. Il est crucial que ces procédures et ce plan de conformité interne soient élaborés en collaboration avec des conseillers juridiques possédant une connaissance approfondie du sujet, qui seront également impliqués dans les procédures de mise en œuvre et d'application du plan.