Élargir le champ d’application de la loi pour inclure à la fois les données personnelles et non personnelles, une plus grande responsabilité pour les plateformes de médias sociaux en les traitant comme des éditeurs, l’inclusion du matériel également dans le cadre de la réglementation et le retour d’une copie miroir des données personnelles sensibles et critiques déjà en possession d’entités étrangères figurent parmi les principales recommandations de la commission mixte du Parlement sur le projet de loi sur la protection des données personnelles, 2019. Le rapport du JCP a été déposé jeudi devant les deux chambres du Parlement.

Le projet de loi a été initialement présenté au Lok Sabha en décembre 2019, après quoi il a été renvoyé au JCP, présidé par le député du BJP, PP Chaudhary. Le projet de loi a été préparé sur les recommandations du comité dirigé par le juge BN Srikrishna en 2018.

Le JCP a toutefois conservé la clause du projet de loi original rédigé par le gouvernement qui prévoit l’exemption de tout organisme relevant du gouvernement de l’Union de tout ou partie des dispositions de la loi. Cela a été fait sous prétexte d’« ordre public », de « souveraineté », de « relations amicales avec des États étrangers » et de « sécurité de l’État ». Cette exception particulière a suscité des notes de dissidence par certains membres de l’opposition dans le panel et est contestée par certains experts juridiques.

Concernant la justification du regroupement des données personnelles et non personnelles sous une seule loi, la commission a déclaré que définir ou restreindre la nouvelle législation uniquement à la protection des données personnelles ou la nommer projet de loi sur la protection des données personnelles est préjudiciable à la vie privée. « Le comité recommande donc que, étant donné que la DPA (Autorité de protection des données) traitera à la fois les données personnelles et non personnelles, tout autre cadre politique/juridique sur les données non personnelles puisse faire partie du même texte au lieu d’un autre législation », a-t-il déclaré. Dès que les dispositions visant à réglementer les données non personnelles seront finalisées, il pourrait y avoir une réglementation distincte sur les données non personnelles dans la loi sur la protection des données qui sera réglementée par l’Autorité de protection des données, a-t-il déclaré.

Les données non personnelles sont les données qui appartiennent à des entités telles que les sociétés de commerce électronique. Ce sont des profils généraux plutôt que des données personnelles individuelles.

Concernant la nécessité de réglementer les intermédiaires des médias sociaux, le comité a recommandé que les intermédiaires désignés puissent travailler en tant qu’éditeurs du contenu dans de nombreuses situations, du fait qu’ils ont la possibilité de sélectionner le destinataire du contenu et également d’exercer un contrôle sur l’accès à un tel contenu hébergé par eux. En conséquence, il a recommandé que toutes les plateformes de médias sociaux, qui n’agissent pas en tant qu’intermédiaires, soient traitées comme des éditeurs et soient tenues responsables du contenu qu’elles hébergent.

Le comité a estimé que l’un des plus gros problèmes entourant les médias sociaux aujourd’hui est la prévalence de faux comptes. La saga des faux comptes prévaut sur presque toutes les plateformes, dont Instagram, Facebook et Linkedin. Étant donné que Facebook et Gmail sont souvent utilisés pour s’authentifier sur plusieurs sites, ces faux comptes conduisent à de multiples fausses identités sur le Web. Selon le rapport du comité, ces « bots » et ces faux comptes peuvent faire avancer un certain programme, mener des campagnes malveillantes, promouvoir des escroqueries numériques et même mener du phishing et du chantage organisés.

Le comité a également suggéré qu’une autorité statutaire de réglementation des médias, sur le modèle du Conseil de la presse de l’Inde, puisse être mise en place pour réglementer le contenu sur toutes ces plateformes médiatiques, quelle que soit la plateforme sur laquelle leur contenu est publié, que ce soit en ligne, imprimé ou autrement. Un mécanisme devrait être conçu où les plateformes de médias sociaux, qui n’agissent pas en tant qu’intermédiaires, seront tenues responsables du contenu des comptes non vérifiés sur leurs plateformes.

« Une fois la demande de vérification soumise avec les documents nécessaires, les intermédiaires des médias sociaux doivent obligatoirement vérifier le compte », indique le rapport. Le panel a également suggéré qu’aucune plate-forme de médias sociaux ne devrait être autorisée à opérer en Inde, à moins que la société mère gérant la technologie n’établisse un bureau dans le pays.

Le panel a également privilégié un cadre pour réglementer les fabricants de matériel, qui collectent également des données avec le logiciel. Elle a privilégié un mécanisme de certification de tous les appareils numériques et Internet des objets (IoT).

La commission a déclaré que même si le projet de loi contient des dispositions relatives au transfert transfrontalier de données, certaines mesures concrètes doivent être prises par le gouvernement central pour garantir qu’une copie miroir des données personnelles sensibles et critiques qui sont déjà en possession du les entités étrangères soient obligatoirement amenées en Inde d’une manière limitée dans le temps.

