Selon l’OAIC (oaic.gov.au), publié le 9 octobre 2025, la Federal Court a ordonné à Australian Clinical Labs (ACL) de payer 5,8 M$ de pénalités civiles pour une violation de données survenue en février 2022 dans sa filiale Medlab Pathology, impliquant l’accès non autorisé et l’exfiltration d’informations personnelles de plus de 223 000 individus. Il s’agit des premières pénalités civiles prononcées au titre du Privacy Act 1988.
Les pénalités imposées ⚖️:
- 4,2 M$ pour manquement à prendre des mesures raisonnables afin de protéger les informations personnelles sur les SI de Medlab (APP 11.1), correspondant à plus de 223 000 contraventions de la s 13G(a).
- 800 000 $ pour ne pas avoir mené une évaluation raisonnable et expéditive de l’éligibilité de la violation après la cyberattaque de février 2022 (contravention de la s 26WH(2)).
- 800 000 $ pour ne pas avoir préparé et transmis aussitôt que possible une déclaration concernant la violation éligible au Commissaire (contravention de la s 26WK(2)).
Dans son jugement, le juge Halley qualifie les contraventions d’« étendues et significatives ». Il note que la direction la plus senior d’ACL a participé aux décisions sur l’intégration des SI de Medlab et la réponse à l’incident, que les manquements découlent d’une insuffisance de soin et de diligence face au risque de cyberattaque, et que la conduite avait le potentiel de causer des préjudices significatifs (financiers, détresse/psychologiques, inconvénients matériels) et d’affecter la confiance du public.
Plusieurs facteurs atténuants ont réduit la sanction: coopération avec l’enquête de l’OAIC, lancement d’un programme d’amélioration des capacités de cybersécurité, excuses publiques, et reconnaissance de responsabilité. ACL a consenti aux ordonnances et des soumissions conjointes ont été faites sur la responsabilité et la pénalité.
Le régime de pénalités appliqué était celui en vigueur au moment des faits (plafond 2,22 M$ par contravention). Le nouveau régime (depuis le 13 décembre 2022) autorise des plafonds bien plus élevés: jusqu’à 50 M$, trois fois l’avantage tiré de la conduite ou 30 % du chiffre d’affaires par contravention. La Commissaire à la vie privée Carly Kind y voit un tournant de l’application de la loi en Australie, notamment pour les fournisseurs de santé.
Type d’article: annonce officielle d’application de la loi / incident de conformité; objectif principal: informer des sanctions judiciaires et rappeler les obligations de sécurité et de notification prévues par le Privacy Act.
🔗 Source originale : https://www.oaic.gov.au/news/media-centre/australian-clinical-labs-ordered-to-pay-penalties-in-relation-to-medlab-pathology-data-breach-in-first-for-privacy-act