Si votre entreprise stocke d'une manière ou d'une autre des informations sur des clients, des employés ou des utilisateurs, même s'il s'agit d'informations génériques et assez simples, telles qu'une liste d'adresses électroniques ou d'utilisateurs sur le site, sachez qu'à partir d'août 2025, l'Amendement 13 de la Loi israélienne sur la Protection de la Vie Privée réduit l'obligation d'enregistrer une base de données, mais exige en contrepartie le respect de règles strictes. Les exigences relatives à la protection des données et de la vie privée nécessitent la nomination d'un responsable de la protection de la vie privée approprié et imposent également des amendes en cas d'infraction.
L'amendement souligne, tout d'abord, la nécessité de maintenir deux principes fondamentaux : le respect de la limitation de la finalité et un devoir accru de transparence (divulgation). Le détenteur de l'information privée est tenu d'informer la personne concernée (le titulaire des données) et d'obtenir son consentement éclairé pour la collecte et l'utilisation des informations, tout en divulguant la finalité pour laquelle les informations ont été collectées et les usages qui en sont faits. De plus, le principe de limitation de la finalité exige qu'après avoir obtenu le consentement des titulaires des données pour la collecte, l'information ne soit pas utilisée autrement que pour le but pour lequel elle a été collectée à l'origine, à moins d'avoir la permission explicite du titulaire des données.
L'amendement élargit également de manière significative les pouvoirs de l'Autorité israélienne de protection de la vie privée, notamment le pouvoir de mener des enquêtes et des procédures administratives et de réaliser des audits proactifs. Il accorde au tribunal le pouvoir d'imposer des amendes (ne nécessitant pas la preuve de dommages réels) aux contrevenants pour un montant allant jusqu'à 10 000 ILS, par exemple, dans les cas où le principe de limitation de la finalité a été violé, le droit de consulter les informations n'a pas été respecté ou les informations n'ont pas été supprimées à la demande d'une personne. En outre, l'amendement inclut une longue liste d'amendes pour diverses infractions, allant de 15 000 ILS pour violation d'un droit substantiel d'une personne concernée (par exemple, une organisation qui a refusé de permettre au titulaire des données d'exercer son droit de consultation) jusqu'à 320 000 ILS pour des violations de la sécurité de l'information dans une base de données nécessitant un haut niveau de sécurité. De plus, des amendes personnelles pouvant être imposées aux dirigeants et responsables (titulaires de charges) ont été ajoutées, pour des montants allant jusqu'à 15 000 ILS, selon le cas.
Dans l'amendement, l'exigence générale d'enregistrer une base de données a été abolie et de nouvelles règles ont été établies. Ainsi, par exemple, les entités publiques ou les entités disposant d'une base de données de plus de 10 000 personnes dont l'objectif principal est de collecter des informations personnelles afin de les transférer à un tiers dans le cadre d'une activité commerciale ou contre rémunération, sont toujours tenues d'enregistrer la base de données. Les autres entités sont seulement tenues de notifier à l'Autorité de la protection de la vie privée l'existence de la base de données et de fournir les coordonnées du Délégué à la Protection des Données (DPO) de l'organisation.
Parallèlement à l'assouplissement des exigences relatives à l'enregistrement des bases de données, une exigence a été ajoutée, similaire à la législation européenne, de nommer un Délégué à la Protection des Données (DPO) au sein des organisations. Cette obligation a été considérablement élargie et s'applique à toute organisation traitant des informations privées dans une mesure significative. Il existe également des exigences concernant l'identité du délégué, qui doit avoir une connaissance approfondie des lois sur la protection de la vie privée, une familiarité avec les activités de l'organisation, une compréhension des technologies de sécurité de l'information requises et ne présenter aucun conflit d'intérêts avec un autre poste dans l'organisation.
À la lumière de ce qui précède, il est vital d'être accompagné par un cabinet d'avocats possédant des connaissances technologiques, corporatives et commerciales, ainsi qu'une familiarité avec les lois sur la protection de la vie privée. Tout comme Afik & Co., un tel cabinet peut également fournir les services d'un DPO externe, permettant d'éviter des amendes et des procédures administratives inutiles, ainsi que d'écarter la responsabilité personnelle des gestionnaires et des dirigeants.