CANBERRA, Australie (AP) – L’Australie a proposé samedi des sanctions plus sévères pour les entreprises qui ne protègent pas les données personnelles de leurs clients après que deux violations majeures de la cybersécurité ont rendu des millions de personnes vulnérables aux criminels.
Les sanctions pour violations graves de la loi sur la protection de la vie privée passeraient de 2,2 millions de dollars australiens (1,4 million de dollars) à 50 millions de dollars australiens (32 millions de dollars) en vertu d’amendements qui seront présentés au Parlement la semaine prochaine, a déclaré le procureur général Mark Dreyfus.
Une entreprise pourrait également être condamnée à une amende de 30 % de ses revenus sur une période définie si ce montant dépassait 50 millions de dollars australiens (32 millions de dollars).
Dreyfus a déclaré que « les grandes entreprises pourraient faire face à des sanctions pouvant atteindre des centaines de millions de dollars » en vertu de la nouvelle loi.
« C’est une augmentation très, très substantielle des pénalités », a déclaré Dreyfus aux journalistes.
« Il est conçu pour faire réfléchir les entreprises. Il est conçu pour être dissuasif afin que les entreprises protègent les données des Australiens », a-t-il ajouté.
Le Parlement reprend mardi pour la première fois depuis la mi-septembre.
Depuis la dernière séance du Parlement, des pirates inconnus ont volé les données personnelles de 9,8 millions de clients d’Optus, le deuxième opérateur de télécommunications sans fil d’Australie. Le vol a exposé plus d’un tiers de la population australienne à un risque accru d’usurpation d’identité et de fraude.
Cette semaine, des cybercriminels inconnus ont demandé une rançon au plus grand assureur maladie d’Australie, Medibank, après avoir affirmé avoir volé 200 gigaoctets de données de clients, y compris des diagnostics et des traitements médicaux. Medibank compte 3,7 millions de clients. La société a déclaré que les pirates avaient prouvé qu’ils détenaient les dossiers personnels d’au moins 100.
Les voleurs auraient menacé de rendre publiques les conditions médicales des clients de premier plan de Medibank.
Dreyfus a déclaré que les deux violations avaient montré que « les garanties existantes sont inadéquates ».
En plus de ne pas protéger les informations personnelles, le gouvernement craint que les entreprises ne conservent inutilement trop de données clients pendant trop longtemps dans l’espoir de monétiser ces informations.
« Nous devons nous assurer que lorsqu’une violation de données se produit, la sanction est suffisamment importante, qu’il s’agit d’une sanction très grave pour l’entreprise et qu’elle ne peut pas être simplement ignorée ou ignorée ou simplement payée dans le cadre d’un coût de fonctionnement », dit Dreyfus.
Dreyfus espère que les amendements proposés deviendront loi dans les quatre dernières semaines que le Parlement siégera cette année.
Toute nouvelle pénalité ne sera pas rétroactive et n’affectera pas Optus ou Medibank.