Comprendre la loi indienne sur la protection des données personnelles numériques (DPDPA)

Le Digital Personal Data Protection Act est la réglementation la plus complète de l’histoire de l’Inde en matière de données, confirmant les droits à la vie privée de près de 1,5 milliard de personnes. Il remplace l’ancien patchwork de lois sur la protection des données du pays, qui incluait :

• Les sections 43A et 87(2)(ob) de l’Information Technology Act, promulgué en 2000.
• Les Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, promulguées en 2011.

Avant le DPDPA, l’Inde ne disposait pas d’un cadre législatif unique pour régir la confidentialité et la protection des données. Cela a commencé à changer en 2017 lorsque la Cour suprême du pays a statué que la vie privée était un droit fondamental, ce qui a donné lieu à des années de délibérations et de négociations sur un projet de loi correspondant.

Finalement, le 11 août 2023, la Chambre des députés indienne a adopté le DPDP Act au terme d’un peu plus d’une semaine d’approbations finales. Il couvre toutes les entités qui traitent des « données numériques à caractère personnel » en Inde, indépendamment de leur taille ou de leur statut privé.

Que sont les données numériques à caractère personnel ?

Le DPDPA inclut notamment le terme « numérique » dans son nom, et c’est à dessein. Contrairement à d’autres règlements, il se concentre spécifiquement sur les informations personnelles numérisées, que la loi définit comme « des données concernant un individu qui peuvent être utilisées pour l’identifier soit par ces données, soit en relation avec ces données ». Cela inclut :

• Noms
• Adresses
• Numéro de téléphone 
• Dates de naissance
• Adresses e-mail
• Éducation
• Coordonnées bancaires
• Dossiers médicaux
• Mots de passe

Il existe plusieurs exceptions, telles que les données mises à la disposition du public en vertu d’une obligation légale et les données traitées à des fins de recherche.

Qui doit se conformer au règlement DPDPA ?

Le DPDPA s’applique à toute organisation qui traite des données personnelles sur le territoire indien si ces informations sont collectées :

• sous forme numérique, ou ;
• sous forme non numérique mais numérisée par la suite

En outre, comme d’autres règlements importants, le projet de loi est extraterritorial. Cela signifie qu’il s’applique également à toute entreprise qui traite des données à caractère personnel pour proposer des biens ou des services en Inde, quel que soit le lieu de collecte des données.

Le non-respect du DPDPA peut entraîner des sanctions importantes, notamment des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 250 crores INR (environ 30 millions de dollars), le montant le plus élevé étant retenu.

Examinons les concepts clés, les droits et les exigences du DPDPA :

Définitions en vertu du DPDPA

Le DPDP Act contient plusieurs termes uniques qui sont similaires mais différents de ceux d’autres règlements importants. Voici quelques exemples :

• Fiduciaire de données : il s’agit de toute entité responsable des activités de collecte et de traitement des données. Ce concept est emprunté au Règlement général sur la protection des données (RGPD), qui désigne cette entité comme le « responsable du traitement des données ».
• Fiduciaire des données significatives (Significant data fiduciary, SDF) : il s’agit de fiduciaires que le gouvernement indien identifie spécifiquement en fonction du volume de données, de leur sensibilité, du risque et de l’impact sur la sécurité nationale. Les SDF doivent répondre à des exigences supplémentaires en matière de protection des données.
• Détenteur des données : équivalent de « personne concernée », désigne la personne dont les données personnelles sont collectées par une société fiduciaire.
• Gestionnaire de consentement : un gestionnaire de consentement est une organisation tierce qui a le pouvoir de gérer, d’examiner et de retirer de manière indépendante le consentement du détenteur des données par le biais d’une plateforme transparente. Ces entités permettent aux fiduciaires de se conformer plus facilement à leurs obligations légales.

Droits à la vie privée

Le DPDPA établit des droits normalisés qui permettent aux citoyens de contrôler leurs données personnelles. Ces droits constituent également la principale base juridique des règles et exigences en matière de traitement des données. En voici quelques-unes :

• Le droit d’accès aux informations personnelles : les organisations doivent permettre aux détenteurs des données de demander l’accès à leurs données personnelles, afin de garantir la transparence.
• Le droit de demander la suppression des données : les personnes peuvent également demander à tout moment aux fiduciaires de supprimer leurs données numériques à caractère personnel.
• Le droit de corriger les inexactitudes : les détenteurs des données peuvent demander la correction ou la mise à jour d’informations incomplètes ou inexactes.
• Le droit de consentir à la collecte de données : les fiduciaires des données doivent obtenir un consentement explicite et éclairé, en veillant à ce que les personnes soient informées de la collecte et du traitement des données et y consentent.
• Le droit de recours : les personnes peuvent déposer une plainte et demander réparation s’ils estiment que leurs droits ont été violés.

Exigences de conformité

Selon un rapport de janvier 2024, 85 % des fiduciaires de données ont pris des mesures préliminaires en vue de se conformer au DPDPA, qui n’est pas encore entré en vigueur. Cependant, « leur préparation est entravée par l’absence de règles qui constituent la substance de la mise en œuvre de nombreuses dispositions » du règlement.

En d’autres termes, les exigences exactes sont encore à déterminer. Cela dit, certaines obligations de haut niveau sont déjà définitives :

• Obtenir le consentement : les organisations doivent obtenir le consentement explicite, spécifique et éclairé des personnes avant de collecter ou de traiter leurs données. Cela implique de les informer sur les données qui seront collectées, sur les raisons de cette collecte et sur l’utilisation qui en sera faite.
• Limiter la collecte de données : les sociétés fiduciaires ne peuvent collecter que les données nécessaires à l’objectif spécifié et rien de plus.
• Veiller à l’exactitude des données : les entreprises doivent veiller à l’exactitude et à la mise à jour des données collectées et corriger toute inexactitude lorsque l’intéressé le leur signale. Cela signifie également qu’elles doivent mettre en œuvre des mécanismes permettant aux détenteurs des données de demander des mises à jour.
• Mettre en œuvre des mesures de cybersécurité : les sociétés fiduciaires sont légalement tenues de protéger les données personnelles contre les accès non autorisés, les violations et autres risques de sécurité en mettant en œuvre des mesures techniques et organisationnelles appropriées. Cela inclut le chiffrement, la Public Key Infrastructure (PKI) et d’autres protections similaires.
• Notification de violation de données : les entités couvertes doivent notifier le Comité de protection des données et les personnes concernées en cas de violation de données. Selon le DPDPA, une violation comprend le traitement, la divulgation, l’altération ou la perte non autorisés de données, ou toute action compromettant la confidentialité, l’intégrité ou la disponibilité des données.
• Limiter la conservation des données : les sociétés fiduciaires ne peuvent pas conserver les données personnelles plus longtemps que nécessaire pour l’objectif spécifié, sauf si la loi l’exige, et doivent supprimer les informations en conséquence.

Règlement général sur la protection des données. Toutefois, il s’écarte du RGPD à plusieurs égards :

Portée

• RGPD : s’applique au traitement des données personnelles des individus au sein de l’UE, quel que soit le lieu du traitement.
• DPDPA : s’applique au traitement des données numériques à caractère personnel en Inde et a un effet extraterritorial si le traitement est lié à l’offre de biens ou de services à des personnes se trouvant en Inde.

Sensibilité

• RGPD : distingue les données à caractère personnel des catégories spéciales de données, qui requièrent une protection plus élevée. Il définit également les enfants selon différentes limites d’âge (généralement moins de 16 ans) et prévoit des dispositions spécifiques pour la protection de leurs données.
• DPDPA : ne fait pas de distinction entre les données personnelles et les données personnelles sensibles. Toutefois, il définit les enfants comme des personnes de moins de 18 ans et impose des obligations plus strictes, notamment l’interdiction du suivi ou de la surveillance comportementale des enfants et de la publicité ciblée à leur intention.

Transfert de données

• RGPD : nécessite des mécanismes de transfert spécifiques tels que des clauses contractuelles types pour le transfert de données en dehors de l’UE.
• DPDPA : autorise les transferts transfrontaliers de données, sauf vers les pays soumis à des restrictions par le gouvernement indien.

Entrust propose une large gamme de produits et de solutions pour vous faciliter la conformité au DPDPA et vous aider à protéger les données personnelles dans l’ensemble de l’organisation.