Protection of Personal Information Act (POPIA)

Le Protection of Personal Information Act (POPIA) est la loi sud-africaine sur la protection des données, pleinement applicable depuis le 1er juillet 2021. Il établit huit conditions pour le traitement licite : responsabilité, limitation du traitement, spécification de la finalité, limitation du traitement ultérieur, qualité de l'information, transparence, mesures de sécurité et participation de la personne concernée. Le POPIA s'applique à toute organisation qui traite des informations personnelles de personnes concernées en Afrique du Sud, ou qui utilise des équipements en Afrique du Sud pour le traitement, sauf si le traitement n'est qu'un transit.

Le POPIA est appliqué par le Régulateur de l'information, qui peut émettre des avis d'application, imposer des amendes allant jusqu'à 10 millions de ZAR et renvoyer les infractions pénales pour poursuite avec une peine d'emprisonnement potentielle. Comme le RGPD, le POPIA exige une base juridique pour le traitement, accorde aux personnes concernées des droits d'accès, de correction et de suppression, et impose la notification des violations de données tant au régulateur qu'aux personnes concernées. Une caractéristique notable est la réglementation des informations personnelles spéciales (y compris les données biométriques, les croyances religieuses et l'appartenance syndicale) et les règles spécifiques pour le traitement des informations personnelles des enfants.