Adoptée en 1995, la Personal Data (Privacy) Ordinance (PDPO) de Hong Kong est l’une des lois les plus établies d’Asie en matière de protection des données.
Créé en réponse à un rapport de la Commission de réforme du droit de 1994, qui suggérait que Hong Kong établisse une loi actualisée sur la protection de la vie privée conformément aux lignes directrices de l’OCDE, PDPO a été introduit pour fournir à Hong Kong les niveaux de confidentialité des données nécessaires pour maintenir l’importance de la région en tant que plaque tournante du commerce international.
Depuis sa création, le PDPO a subi un certain nombre de modifications importantes dans le but de servir le paysage numérique en expansion. En 2012, des dispositions sur le marketing direct ont été introduites afin de répondre aux préoccupations du public concernant la protection de la vie privée en ligne, et en 2021, une série de modifications majeures ont été ajoutées pour lutter contre les pratiques de doxxing – la divulgation des données privées d’un individu en ligne.
En vertu de l’amendement doxxing, toute personne qui divulgue ou conspire pour divulguer les données personnelles d’une autre personne sans le consentement exprès de cette personne, que ce soit par négligence ou avec l’intention spécifique de causer un préjudice, a commis une infraction pénale passible d’amendes ou d’emprisonnement. Grâce à ces pouvoirs qui donnent au commissaire à la protection de la vie privée la capacité de mener des enquêtes criminelles, le PDPO a sévèrement réprimé les pratiques d’atteinte à la vie privée.
Principes de protection des données
Au cœur de la loi se trouve un ensemble de principes de protection des données (DPP), qui fournissent aux individus et aux organisations un cadre décrivant comment les données personnelles peuvent être collectées, traitées, divulguées et utilisées. Le Commissariat à la protection de la vie privée des données personnelles (CPPD) est chargé de faire respecter les principes de la DPPO à Hong Kong et de servir de guide de conformité.
Les principales définitions applicables à la loi sont les suivantes:
Données personnelles
Ceci est défini comme toute donnée pertinente pour un individu vivant qui peut être utilisée pour identifier cet individu. Ces données doivent exister sous une forme qui permette un accès et un traitement pratiques.
Personne concernée
La personne qui fait l’objet des données personnelles.
Utilisateur de données
Toute personne ou entité qui gère le contrôle, la collecte, la détention, le traitement ou l’utilisation de données personnelles, seule ou en collaboration avec d’autres personnes ou entités.
Processeur de données
Toute personne, organisation ou entité qui traite des données personnelles pour le compte d’un autre utilisateur de données par opposition au traitement des données à ses propres fins. Bien que les processeurs de données ne soient pas techniquement régis par le PDPO, les utilisateurs de données sont tenus de garantir que leurs processeurs de données se conforment aux réglementations PDPO, soit par contrat, soit par une autre méthode.
Consentement
À moins que les données personnelles collectées ne soient utilisées à des fins de marketing direct ou d’un processus nouvellement défini, le consentement n’est pas requis. Dans le cas où c’est le cas, le consentement est défini comme l’expression volontaire de l’approbation.
Droits PDPO
Les principes de protection des données du PDPO accordent aux personnes concernées le droit d’accéder à leurs informations personnelles et de demander leur modification.
Dans le cas où un utilisateur de données refuse d’accorder à la personne concernée l’accès à ses informations personnelles, des raisons valables pour le refus doivent être données. En outre, les personnes concernées ont le droit d’être informées par les utilisateurs de données si des informations personnelles les concernant sont détenues.
Bien que le PDPO n’accorde aux personnes concernées aucun droit définitif d’effacer des informations, les personnes concernées peuvent demander que les informations détenues à leur sujet soient supprimées si elles ne sont plus jugées nécessaires au traitement.
Du point de vue de l’utilisateur de données, l’ordonnance lui interdit de conserver les données personnelles plus longtemps que ce qui est jugé absolument nécessaire. En conséquence, les personnes concernées ont le droit de se retirer des campagnes de marketing direct.
Conformité PDPO
La gouvernance PDPO s’applique à toute organisation du secteur privé ou public qui collecte, traite, détient ou utilise des données personnelles. Bien que les réglementations PDPO couvrent le traitement des données, quel que soit l’endroit où ce traitement peut avoir lieu, les règles ne s’appliquent qu’aux utilisateurs de données basés à Hong Kong.
Cela dit, il existe un certain nombre d’exemptions aux règlements PDPO. Les décisions peuvent ne pas s’appliquer à vous si…
- Le traitement des données est dans l’intérêt public ou légal.
- Les données sont destinées à des usages domestiques ou récréatifs.
- Les données sont à des fins d’emploi.
Bien que le PDPO ne décrive pas spécifiquement les mécanismes spécifiques par lesquels les individus et les organisations devraient gérer leur confidentialité des données, ils suggèrent que toutes les entités engagées dans le traitement des données introduisent des systèmes qui aboutissent à la conformité PDPO. À cette fin, ils recommandent l’emploi de délégués à la protection des données et l’évaluation régulière des systèmes de protection de la vie privée.
Les principes de protection des données de l’ordonnance encouragent les utilisateurs de données à maintenir la transparence concernant leurs pratiques en matière de données, les données personnelles qu’ils détiennent et pourquoi. Ils sont également tenus de prendre toutes les mesures nécessaires pour s’assurer que les données personnelles qu’ils détiennent sont protégées contre l’accès, le traitement, la perte ou l’utilisation non autorisés.
En cas de violation de données, il n’existe aucune obligation légale en vertu du PDPO pour les utilisateurs de données de rendre cette violation publique, cependant, il est fortement recommandé que le PCPD et toutes les personnes concernées impliquées dans la violation soient informés.
Pénalités en cas de non-conformité
Bien que le non-respect du PDPO ne soit pas une infraction en soi, les dispositions spécifiques énoncées dans l’ordonnance prévoient de lourdes amendes et des peines d’emprisonnement si elles ne sont pas respectées.
Certaines des dispositions et sanctions les plus pertinentes sont les suivantes:
- Si le commissaire à la protection de la vie privée émet un avis d’application de la loi, le non-respect de cet avis peut entraîner des amendes pouvant aller jusqu’à 50 000 dollars HK et deux ans d’emprisonnement. Toute condamnation ultérieure peut entraîner une amende de 100 000 dollars HK et une peine d’emprisonnement supplémentaire.
- Les utilisateurs de données qui ne suppriment pas les données inutiles peuvent être passibles d’une amende pouvant aller jusqu’à 10 000 HK$.
- Les personnes concernées ont le droit de demander réparation aux utilisateurs de données dans le cas où les sujets souffrent à la suite du non-respect du PDPO.
Consultez cette liste complète décrivant toutes les pénalités PCPD.
Pour vous assurer que votre site Web collecte des données conformément à la réglementation PDPO, contactez CookieHub. Solution de données efficace, CookieHub fournit tous les outils nécessaires pour assurer la conformité régionale, quel que soit l’endroit où vous vous trouvez.