Le PDG d'une entreprise a été surpris de recevoir une demande formelle de diagnostic de la part de l'Autorité israélienne de protection de la vie privée (PPA, pour son acronyme anglais). Le problème n'était pas le questionnaire en soi, mais le fait alarmant que l'organisation n'avait jamais réalisé d'évaluation préliminaire des besoins et des risques, que les lacunes n'avaient jamais été cartographiées et que les rectifications technologiques et juridiques requises par la loi n'avaient pas été mises en œuvre à temps. Est-il même possible de combler des années de lacunes et de transformer un système de données vulnérable en une forteresse de conformité et de confidentialité alors que le sablier de l'Autorité s'est déjà retourné ?
L'Amendement 13 de la Loi israélienne sur la protection de la vie privée sert actuellement de pilier central dans le renforcement des capacités de dissuasion et d'application de la PPA. Cela représente un changement de paradigme : une transition d'un modèle « basé sur des recommandations » vers un modèle d'application administrative ferme, qui inclut de sévères sanctions financières et l'émission de directives professionnelles contraignantes pour les responsables de bases de données. À notre époque, la PPA ne se contente pas simplement d'enquêter sur les failles de sécurité ; elle agit de manière proactive pour garantir que tant les organisations privées que gouvernementales respectent les normes rigoureuses de la Loi sur la protection de la vie privée, la PPA ayant le pouvoir d'imposer des amendes personnelles aux dirigeants de l'entreprise pouvant aller jusqu'à 150 000 ILS.
L'un des changements les plus significatifs introduits par l'Amendement 13 est la nomination obligatoire d'un Délégué à la Protection des Données (DPO). Cette exigence ne se limite plus aux organismes publics ; elle s'applique désormais aux sous-traitants travaillant pour leur compte, aux entités dont l'activité principale est le commerce de données personnelles, aux organisations dédiées à la surveillance systématique du comportement humain et aux entités traitant des volumes significatifs de données sensibles (telles que des données médicales, biométriques, pénales, de crédit ou des informations sur l'orientation sexuelle). Le DPO agit en tant que fonction professionnelle indépendante, rendant compte directement au PDG et au Conseil d'Administration, et est chargé de superviser la sécurité des données de l'organisation.
Cependant, même lorsque la nomination d'un DPO n'est pas obligatoire, le Conseil d'Administration a un devoir actif de garantir la sécurité des données. Ils doivent approuver les définitions et procédures, évaluer les risques et vérifier la mise en œuvre d'une politique de conformité incluant des mécanismes de contrôle et le signalement immédiat d'incidents de sécurité. Par conséquent, même en l'absence d'obligation légale, il est fortement recommandé de nommer un DPO pour assurer une conformité continue et atténuer l'exposition des administrateurs et dirigeants en cas de fuite de données. Ignorer les recommandations du DPO ou manquer à la supervision continue (y compris l'absence d'allocation de ressources adéquates) peut être perçu comme une violation du devoir de diligence (duty of care). Que ce soit lors d'un audit réglementaire ou après une fuite, de tels manquements peuvent entraîner une responsabilité personnelle pour les administrateurs et dirigeants, indépendamment de la responsabilité corporative de l'entreprise.
Une erreur courante des dirigeants est de considérer la vie privée comme un « projet » temporaire en préparation d'un audit. L'Amendement 13 précise que la responsabilité finale incombe au Conseil d'Administration, exposant les dirigeants à de lourdes sanctions financières personnelles et à d'éventuelles enquêtes criminelles. Par conséquent, il est conseillé aux dirigeants d'agir sans délai pour garantir une conformité totale et formuler des procédures de sécurité par écrit. Compte tenu des risques juridiques et personnels impliqués, il est conseillé de ne pas se contenter d'un fournisseur de services DPO externe standard (surtout compte tenu de l'afflux récent de prestataires inexpérimentés qui « poussent comme des champignons » après l'Amendement 13). Au lieu de cela, les organisations devraient engager un cabinet d'avocats disposant d'une expertise spécifique en protection de la vie privée pour fournir une orientation professionnelle continue et des services de DPO externes.