Les entreprises pourraient avoir le droit de conserver les données des clients supprimées par une suite ambitieuse de réformes de la confidentialité proposées par le gouvernement albanais.
Le procureur général, Mark Dreyfus, a révélé jeudi qu’en plus d’achever un examen des lois australiennes sur la protection de la vie privée, le gouvernement albanais cherchera à légiférer “des réformes encore plus urgentes” plus tard cette année ou au début de 2023.
Les réformes immédiates pourraient inclure des sanctions, des garanties sur les informations personnelles et le renforcement des exigences pour les entreprises d’informer les clients des violations.
Jeudi, le Premier ministre, Anthony Albanese, a approuvé les modifications des lois sur la conservation des données.
Albanese a déclaré à FiveAA Radio qu’exiger des entreprises qu’elles se débarrassent des données lorsqu’elles n’en ont plus besoin, par exemple après qu’un client quitte un fournisseur, était une “proposition assez sensée” et a confirmé qu’elle était à l’étude.
Plus tôt, Dreyfus a déclaré aux journalistes à Canberra que le gouvernement examinait si les entreprises “devraient être autorisées à continuer à conserver des données alors que le but de la collecte en premier lieu n’aurait peut-être été que d’établir l’identité de quelqu’un”.
Vérifier le numéro de permis de conduire ou de passeport d’un client pour établir son identité “devrait être la fin, pourrait-on penser, pour l’entreprise de conserver toutes ces données”, a-t-il déclaré.
«Ils ne me semblent pas avoir de raison valable de dire que nous devons garder cela pour la prochaine décennie.
“Évidemment, plus il y a de données conservées, plus il y a de problème pour les garder en sécurité, plus il y a de problème pour les dommages potentiels qui vont être causés par un énorme piratage. [like the one] c’est arrivé ici.
Les travaillistes ont souligné la nécessité de lois plus strictes depuis que l’attaque d’Optus a touché jusqu’à 10 millions de clients, dont 2,8 millions de personnes dont le numéro de licence ou de passeport a été divulgué.
La ministre de l’Intérieur, Clare O’Neil, a suggéré que les réformes incluraient l’augmentation des sanctions maximales pour les violations de données – actuellement plafonnées à 2,2 millions de dollars – et l’extension du pouvoir de fixer des normes minimales de cybersécurité aux opérateurs de télécommunications.
Jeudi, Dreyfus a déclaré à la radio ABC que le ministre des Affaires étrangères avait écrit à Optus pour lui demander de payer les passeports de remplacement des Australiens et que le Premier ministre avait « indiqué très clairement… qu’il appartiendra à Optus de payer les frais encourus par les Australiens comme à la suite de la violation de données qui s’est produite ».
Dreyfus a déclaré que les Australiens étaient “à juste titre préoccupés” par la divulgation d’informations personnelles, et a averti Optus qu’il s’attend à une “coopération continue” de la part des opérateurs de télécommunications.
Interrogé sur les réformes du droit de la vie privée, Dreyfus a répondu : « C’est une question d’urgence. Nous devons mettre à jour les lois sur la confidentialité, [and make them] adapté à l’ère numérique.
Le procureur général a déclaré qu’il espérait achever un “examen de longue durée” des lois sur la protection de la vie privée d’ici la fin de 2022.
«Nous envisageons également des réformes encore plus urgentes que nous pouvons apporter immédiatement à la Loi sur la protection des renseignements personnels pour faire des choses comme augmenter les garanties qui existent déjà en ce qui concerne les renseignements personnels, les directives de sécurité et renforcer le régime de violation de données à déclaration obligatoire.
“Nous examinons ce qui peut être présenté au Parlement au cours des semaines de séance restantes et, si possible, adopté cette année ou, si ce n’est pas cette année, au début de l’année prochaine.”
Le gouvernement demande à Optus de partager les données avec les banques et les institutions financières afin qu’elles « puissent prendre des précautions pour protéger les clients d’Optus dont les données ont été volées », a déclaré Dreyfus à ABC News Breakfast.
Le procureur général a déclaré que “malheureusement” Optus avait omis de sa notification initiale aux clients que “certains numéros d’assurance-maladie en plus des numéros de passeport et de permis de conduire étaient inclus dans la violation de données”.
Guardian Australia comprend que l’industrie des télécommunications se prépare à modifier les lois à la suite de la violation, y compris le renforcement de la législation sur la cybersécurité et la confidentialité, qui exercera davantage de pression sur les entreprises pour garantir que leur sécurité est à la hauteur.
Simon Bush, directeur général de l’Australian Information Industry Association, a déclaré que la réponse du gouvernement en matière de confidentialité devrait résoudre les problèmes soulevés par la violation, en particulier la durée de conservation des informations de vérification d’identité.
«La violation a soulevé de nombreuses questions concernant la vie privée des citoyens, et ce sont des questions légitimes, et ce sont des questions que l’industrie et le gouvernement doivent examiner attentivement, et la révision de la Loi sur la protection des renseignements personnels devrait examiner ces questions très sérieusement. ,” il a dit. “Si vous perdez la confiance du citoyen, alors le gouvernement ou l’entreprise n’a pas de licence pour opérer.”
Le chercheur en droit de l’UNSW, Tony Song, a déclaré que l’Australie devrait envisager d’adopter des lois similaires au règlement général sur la protection des données de l’UE.
“Notre limite actuelle de 2,2 millions de dollars [in corporate penalties for breaches] n’est rien comparé au maximum fixé par le RGPD de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. Pour de nombreuses grandes entreprises technologiques, c’est encore des cacahuètes pour elles.
Jocelinn Kang, spécialiste technique à l’Australian Strategic Policy Institute, a déclaré que le gouvernement devrait envisager d’exiger des organisations qu’elles stockent séparément les détails des documents d’identité sensibles, comme l’exigent les fournisseurs de cartes de crédit. Elle a déclaré que le système d’identification numérique du gouvernement pourrait également jouer un rôle dans la minimisation des données détenues par des entreprises comme Optus.
Dans un communiqué publié mercredi soir, Optus a déclaré avoir identifié 14 900 numéros d’identification Medicare valides et non expirés parmi les dossiers clients compromis, ainsi que 22 000 numéros expirés.
Les clients avec des numéros d’assurance-maladie valides seront contactés dans les 24 heures, et ceux avec des numéros expirés dans les jours à venir.
La société mère d’Optus, Singtel, a déclaré mercredi: “Nous sommes profondément désolés pour toutes les personnes touchées par le vol de données sur notre filiale Optus.”
“La direction et le conseil d’administration de Singtel traitent cet incident très au sérieux et travaillent en étroite collaboration avec Optus pour résoudre ce problème complexe, de manière holistique”, a déclaré la société dans un communiqué.
