Tout savoir sur la nouvelle réglementation sur la protection des données au Chili (Loi 21.719)

réglementation sur la protection des données au Chili (Loi 21.719)

Le Chili a promulgué un nouveau cadre de protection des données personnelles avec la loi 21.719. Découvrez les principes clés, les exigences, les amendes et la manière dont Didomi vous aide à rester en conformité.
Demandez une démo

Fiable par des milliers d'entreprises dans le monde

Qu'est-ce que la nouvelle loi chilienne sur la protection des données 21.719 ?

La loi 21.719 du Chili, approuvée en mars 2024, est la réglementation moderne et complète du pays en matière de protection des données. Elle remplace la loi obsolète de 1999 et rapproche le Chili des normes internationales de confidentialité telles que le RGPD et la LGPD.
Cette nouvelle loi :
• Crée l'Agencia de Protección de Datos Personales (APDP)
• Instaure des exigences plus strictes pour le traitement des données personnelles
• Renforce les droits des individus
• Crée un cadre de sanctions en cas de non-conformité

Demandez une démo

Principes fondamentaux du droit 21.719

Légalité, équité et transparence

Les organisations doivent traiter les données personnelles sur la base d'une base légale valide, en veillant à ce que les individus comprennent clairement comment leurs informations seront collectées, utilisées et partagées. La transparence nécessite également de fournir des notices accessibles, d'éviter les dark patterns et d'informer les personnes de leurs droits. Le traitement doit toujours être conforme aux attentes des utilisateurs et au cadre juridique chilien.

Limitation de l'objectif

Les données ne peuvent être collectées qu'à des fins spécifiques, explicites et légitimes qui sont communiquées à l'individu au moment de la collecte. Toute utilisation secondaire doit être compatible avec l'objectif initial, et les organisations ne peuvent pas réutiliser les données personnelles pour des activités non liées sans justification appropriée ou sans consentement renouvelé.

Minimisation des données

Les responsables du traitement doivent s'assurer qu'ils ne collectent que les données personnelles strictement nécessaires pour atteindre l'objectif déclaré. Cela signifie qu'il faut éviter les points de données excessifs, limiter les champs facultatifs et revoir régulièrement la nécessité de chaque catégorie d'informations. La minimisation réduit les risques de conformité et renforce la privacy-by-design.

Exactitude

Les organisations doivent prendre des mesures raisonnables pour que les données personnelles restent exactes, complètes et à jour. Cela inclut la vérification des informations au point de collecte, la possibilité pour les utilisateurs de demander des corrections facilement et la mise en place de processus internes pour empêcher l'utilisation d'informations obsolètes ou incorrectes dans la prise de décisions.

Limitation de stockage

Les données personnelles ne peuvent être conservées que le temps nécessaire pour atteindre l'objectif légitime pour lequel elles ont été collectées. Une fois cet objectif atteint, les données doivent être supprimées, rendues anonymes ou archivées de manière sécurisée. Un calendrier de conservation clair aide les organisations à respecter ce principe et à se conformer à leurs obligations légales.

Intégrité et confidentialité

Les responsables du traitement sont tenus de mettre en œuvre des mesures techniques et organisationnelles robustes pour protéger les données personnelles contre tout accès non autorisé, toute modification, toute perte ou toute utilisation abusive. Cela inclut le chiffrement, les contrôles d'accès, les politiques internes, la formation du personnel et les plans de réponse aux incidents qui garantissent la confidentialité tout au long du cycle de vie des données.

Responsabilité

Les organisations doivent être en mesure de démontrer leur pleine conformité à la Loi 21.719 à tout moment. La responsabilité comprend la documentation des activités de traitement, la mise en place d'analyses d'impact relatives à la protection des données (AIPD) pour les opérations à haut risque, la tenue à jour des pistes d'audit, la conception de programmes de gouvernance internes et la garantie que les équipes internes et les sous-traitants externes respectent les obligations de confidentialité.

Exigences deConformité

Les organisations doivent respecter les obligations suivantes :

Une base légale doit être établie pour chaque activité de traitement

En vertu de la loi 21.719, chaque cas de traitement de données personnelles doit reposer sur une base légale valide telle que le consentement, la nécessité contractuelle, l'obligation légale ou l'intérêt légitime. Les responsables du traitement doivent documenter la justification de chaque objectif de traitement et s'assurer que les données ne sont pas utilisées au-delà de ce que permet la base sélectionnée. Cela est fondamental pour démontrer la conformité à l'APDP.

Le consentement doit être éclairé, explicite, spécifique et révocable

Le consentement doit être obtenu par le biais d'une action positive claire qui n'est pas associée à d'autres fins ou dissimulée derrière un langage ambigu. Les utilisateurs doivent parfaitement comprendre ce qu'ils acceptent, avoir la possibilité de refuser sans conséquences négatives et être en mesure de retirer leur consentement à tout moment. Les cases pré-cochées et les mécanismes de consentement implicite ne sont pas conformes à la nouvelle loi.

Droits de la personne concernée : accès, correction, suppression, portabilité, etc.

Les individus ont le droit de savoir quelles données sont collectées à leur sujet, de demander des corrections ou des suppressions et de recevoir leurs informations dans un format portable. Ils peuvent également s'opposer à certains types de traitement, notamment au profilage ou à la prise de décision automatisée qui les affecte de manière significative. Les organisations doivent mettre en place des procédures claires et conviviales pour répondre à ces demandes dans les délais prescrits par la loi.

AIPD pour les activités de traitement à haut risque

Les analyse d'impact relatives à la protection des donnée sont obligatoires lorsqu'une activité est susceptible de présenter des risques élevés pour les droits et libertés, par exemple lorsqu'il s'agit de données sensibles, de profilage à grande échelle ou de nouvelles technologies. Une AIPD identifie les risques, évalue leur gravité et définit des stratégies d'atténuation, garantissant ainsi l'intégration de la confidentialité dans les pratiques organisationnelles.

Supervision des processeurs et mise à jour des contrats

Les organisations qui font appel à des sous-traitants tiers restent tenues de s'assurer que ces fournisseurs respectent les exigences légales. Les accords de traitement doivent spécifier les mesures de sécurité, les obligations de confidentialité et les devoirs du sous-traitant. Des audits et une documentation réguliers aident à maintenir la responsabilité tout au long de la chaîne d'approvisionnement.

Gouvernance interne dont les politiques, la formation et le registre des activités de traitement

Les contrôleurs doivent mettre en œuvre des cadres de gouvernance internes, tels que des politiques de confidentialité, des programmes de formation des employés, des procédures de réponse aux incidents et des calendriers de rétention. Il est essentiel de maintenir un registre des activités de traitement à jour, car il montre comment les données personnelles circulent dans l'organisation et fournit des preuves de conformité pour les audits ou les enquêtes.

Amendes pour non-conformité

Infractions mineures

jusqu'à 5 000 UTM

Infractions graves

jusqu'à 10 000 UTM

Infractions très graves

jusqu'à 20 000 UTM
En cas de violations graves ou très graves répétées commises par des moyennes ou grandes entreprises : 2 % ou 4 % du chiffre d'affaires annuel.

UTM = « Unité fiscale mensuelle », qui est « un indice utilisé par le gouvernement chilien pour exprimer les impôts, les amendes et les pénalités d'une manière qui s'ajuste automatiquement à l'inflation ».
Les sanctions supplémentaires incluent :
• Suspension des activités de traitement : 

Appliqué lorsqu'une activité de traitement en cours présente un risque grave ou immédiat pour les droits des personnes, en particulier si elle ne repose pas sur une base légale valide, implique des données sensibles ou se poursuit malgré les avertissements précédents.

• Ordonnances de suppression de données illégales :
Émis lorsque des données personnelles ont été collectées ou traitées sans base légale appropriée, conservées plus longtemps que prévu ou utilisées à des fins non divulguées initialement. Cela garantit que les données obtenues de manière incorrecte ne sont pas utilisées ou diffusées ultérieurement.

• Réprimandes publiques :
Utilisé dans les cas impliquant un impact généralisé, des manquements systémiques en matière de conformité ou un manque de coopération avec l'APDP. Les réprimandes publiques visent à promouvoir la responsabilisation et à informer les personnes concernées.

Liste de contrôle de conformité

✓ Identifier toutes les activités de traitement
✓ Définir les bases légales
✓ Revoir et mettre à jour la collecte des consentements
✓ Mettre en œuvre des flux de demandes de droits des utilisateurs
✓ Déployez des procédures de sécurité et de violation
✓ Mettre à jour les contrats fournisseurs
✓ Réaliser des AIPD en cas de besoin
✓ Former les équipes aux exigences de la Loi 21.719
✓ Établissez des règles de conservation et de suppression
✓ Déployez une bannière de consentement conforme
✓ Conservez une documentation prête à être auditée

Demandez une démo

La loi chilienne 21.719 vous concerne-t-elle ?

Votre organisation doit se conformer si elle :

• Est basée au Chili, ou
• Offre des biens/services à des personnes au Chili, ou
• Traite les données des résidents chiliens, même s'ils opèrent à l'étranger.

Cette portée extraterritoriale signifie que de nombreuses entreprises internationales tombent sous le coup de la loi.

Demandez une démo

Pourquoi choisir Didomi pour la conformité au Chili

Répondez aux exigences de la Loi 21.719 avec Didomi
Gestion avancée des consentements

Collectez, stockez et gérez le consentement conformément aux règles de consentement explicite du Chili.

Centres de préférences

Donnez aux utilisateurs le contrôle de leurs choix à tout moment.

Registres prêts à être audités

Conservez une preuve complète du consentement et des activités de traitement.

Conformité multirégionale

Gérez le RGPD, le CCPA, le LGPD et la loi 21.719 à partir d'une seule plateforme.

Intégrations flexibles

SDK, API, déploiements côté serveur et compatibles avec WebFlow.

Configuration d'une bannière de consentement pour Chili

Comment configurer votre bannière de consentement pour la réglementation chilienne sur la protection des données personnelles.
Clarté

Utilisez un langage clair et neutre

Granularité

Fournissez des options granulaires pour l'analyse, le marketing et la personnalisation

Accessibilité

Incluez un lien de préférence toujours disponible

Vérifiable

Stockez les journaux de consentement avec horodatage

Localisation

Proposez une version localisée en espagnol (Chili)

Questions fréquemment posées (FAQ)

Quelle est la date limite d'application de la Nueva Ley de Protección de Datos Personales Chile (Loi 21.719) ?
Quelle est la différence entre le RGPD et la Loi 21.719 ?