Un projet de loi sur la protection des données personnelles numériques permet un transfert de données transfrontalier facile, pour soulager les grandes technologies

Le gouvernement a proposé vendredi une nouvelle loi sur la confidentialité des données qui autorise le transfert et le stockage de données personnelles dans certains pays tout en augmentant les sanctions en cas de violation.

Le projet de loi 2022 sur la protection des données personnelles numériques (DPDP) sera un grand soulagement pour Google, Amazon, Facebook et d’autres entreprises mondiales, car il remplace une version antérieure qui avait alarmé les grandes entreprises technologiques au sujet de ses restrictions strictes sur les flux de données transfrontaliers.

Le gouvernement « notifiera les pays ou territoires en dehors de l’Inde auxquels un fiduciaire de données peut transférer des données personnelles », selon le projet dévoilé vendredi pour les commentaires du public.

Le nouveau projet deviendra loi une fois que le Parlement l’aura approuvé.

La législation proposée stipule le consentement avant la collecte de données personnelles et prévoit des sanctions sévères pouvant aller jusqu’à Rs. 500 crores sur les personnes et les entreprises qui ne parviennent pas à prévenir les violations de données, y compris les divulgations accidentelles, le partage, la modification ou la destruction de données personnelles.

Les entreprises ne sont autorisées à stocker les données collectées que pendant des périodes déterminées.

Le projet donne également au gouvernement central le pouvoir d’exempter les agences de l’État des dispositions du projet de loi « dans l’intérêt de la souveraineté et de l’intégrité de l’Inde » et de maintenir l’ordre public.

Avec plus de 750 millions d’internautes et la deuxième plus grande maison pour les téléphones mobiles, l’Inde est un marché important et en pleine croissance pour les géants de la technologie, mais les règles de confidentialité précédentes les avaient agacés.

Le projet de loi couvre les données personnelles collectées en ligne et les données hors ligne numérisées. Elle s’appliquera également au traitement de données personnelles à l’étranger si ces données impliquent le profilage d’utilisateurs indiens ou la vente de services à ceux-ci.

« Le projet de loi DPDP 2022 a simplifié le régime de protection des données proposé et supprimé certaines clauses litigieuses qui ont provoqué un recul de l’industrie dans les versions antérieures. En particulier, la mise en miroir des données, les exigences de localisation des données et la conformité globale semblent être limitées par rapport au projet de loi précédent. » a déclaré Rupinder Malik, associé du cabinet d’avocats JSA.

L’intention législative, a-t-il dit, semble être favorable aux entreprises technologiques et informatiques, axée sur la facilitation des flux de données transfrontaliers. « Certains aspects qui ont été édulcorés pourraient potentiellement réduire la protection globale accordée aux droits individuels à la vie privée. Le point positif est que le projet de loi a été rédigé de manière plus simple, avec moins d’ambiguïtés. » Le nouveau projet de loi remplace le projet de loi sur la protection des données, qui a été retiré par le gouvernement en août de cette année. Le projet est ouvert aux commentaires du public jusqu’au 17 décembre.

Le projet de loi exige la mise en place d’un «comité de protection des données» pour assurer la conformité. Le conseil entendra également les plaintes des utilisateurs.

Il exige que des entreprises telles que Google et Facebook soient responsables devant un « gestionnaire de consentement » pour fournir une « plate-forme accessible, transparente et interopérable » pour donner, gérer, examiner et retirer le consentement.

Les utilisateurs ont le droit de corriger et d’effacer leurs données personnelles.

Bien que les données personnelles des enfants ne puissent être obtenues ou traitées sans le consentement des parents, le projet de loi prévoit que la publicité ne peut cibler les enfants.

Les entreprises de taille «significative» – en fonction de facteurs tels que le volume de données qu’elles traitent – seraient tenues de nommer un vérificateur de données indépendant pour évaluer la conformité aux dispositions de la loi.

La disposition de la version précédente qui donnait au gouvernement le pouvoir de demander à une entreprise de fournir des données personnelles anonymisées et des données non personnelles pour aider à cibler la prestation de services ou à formuler des politiques, ne figure pas dans le nouveau projet.

Le nouveau projet augmente le montant de la pénalité jusqu’à Rs. 500 crore pour violation des dispositions. Le projet de loi sur la protection des données personnelles, publié en 2019, avait proposé une peine de Rs. 15 crores ou 4 % du chiffre d’affaires mondial d’une entité, selon le montant le plus élevé.

« Le but de ce projet de loi est de prévoir le traitement des données personnelles numériques d’une manière qui reconnaisse le droit des individus à protéger leurs données personnelles, la nécessité de traiter les données personnelles à des fins licites et à d’autres fins accessoires », une note explicative du projet de loi dit.

Le projet propose de créer un Conseil indien de la protection des données, qui exercera des fonctions conformément aux dispositions du projet de loi.

« Si le Conseil détermine à l’issue d’une enquête que le non-respect par une personne est important, il peut, après avoir donné à la personne une possibilité raisonnable d’être entendue, imposer une sanction pécuniaire telle que spécifiée à l’annexe 1, n’excédant pas cinq roupies cent crore dans chaque cas », indiquait le brouillon.

Il a proposé un système de sanctions graduées pour les fiduciaires de données et les processeurs de données en cas de violation de la législation proposée.

Les fiduciaires de données sont les entités qui traiteront les données personnelles, soit par elles-mêmes, soit avec l’aide de sous-traitants.

Le projet a proposé une pénalité pouvant aller jusqu’à Rs. 250 crore au cas où le fiduciaire des données ou le sous-traitant ne parvient pas à se protéger contre les violations de données personnelles en sa possession ou sous son contrôle.

Le projet a également proposé une pénalité pouvant aller jusqu’à Rs. 200 crore au cas où le fiduciaire des données ou le sous-traitant des données n’informerait pas le conseil d’administration et le propriétaire des données de la violation de données.

En outre, le projet de loi propose d’imposer une pénalité de Rs. 10 000 sur les personnes fournissant des informations invérifiables ou fausses lors de la demande de tout document, service, preuve d’identité ou d’adresse, etc. et pour l’enregistrement d’une plainte fausse ou frivole auprès d’un fiduciaire de données ou du conseil.

Le projet de loi contient une disposition permettant aux entités de transférer les données personnelles d’un citoyen à l’extérieur du pays dans les cas où le traitement des données personnelles est nécessaire pour faire valoir un droit ou une réclamation légale, l’exercice de toute fonction judiciaire ou quasi judiciaire, enquête ou la poursuite de toute infraction ou si le propriétaire des données ne se trouve pas sur le territoire de l’Inde et a conclu un contrat avec une personne en dehors du pays.

« Le gouvernement central peut, après une évaluation des facteurs qu’il juge nécessaires, notifier les pays ou territoires en dehors de l’Inde auxquels un fiduciaire de données peut transférer des données personnelles », selon le projet.

La note explicative publiée par le ministère de l’électronique et de l’informatique énumère sept principes sur lesquels repose le projet de loi.

Celles-ci incluent l’utilisation des données personnelles par les organisations d’une manière légale, transparente et équitable pour les personnes concernées et les données personnelles sont utilisées aux fins pour lesquelles elles ont été collectées.

Le projet contient également une disposition garantissant que seuls les éléments de données à caractère personnel nécessaires à la réalisation d’un objectif spécifique doivent être collectés et qu’ils doivent être conservés perpétuellement par défaut.

« Le projet de loi sur la protection des données personnelles numériques est une législation qui définit les droits et devoirs du citoyen (Digital Nagrik) d’une part et les obligations d’utiliser licitement les données collectées du Data Fiduciary d’autre part », indique la note explicative.

Les commentaires sur le projet de loi peuvent être soumis jusqu’au 17 décembre.