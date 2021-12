Le projet de loi sur la protection des données que le CPM a proposé donne des pouvoirs étendus au gouvernement



Par Prashant Phillips

Une commission mixte du Parlement a proposé des amendements importants au projet de 2019 de loi sur la protection des données personnelles. Il a élargi le champ d’application de la législation pour inclure les données non personnelles, en dehors des données personnelles, et a suggéré de renommer la législation en tant que projet de loi sur la protection des données, 2021 (le projet de loi).

Le projet de loi prévoit un cadre global pour la protection des données personnelles et prévoit la constitution d’une autorité de protection des données (DPA) composée de sept membres (dont le président).

Alors que le fiduciaire des données, qui exerce un contrôle décisionnel sur le traitement des données personnelles du principal des données, inclut l’État, de larges exemptions ont été accordées à l’État :

a) L’exemption de l’un de ses organismes dans l’intérêt de la souveraineté et de l’intégrité, de la sécurité, de l’ordre public, de l’incitation à la commission d’infractions reconnues ;

b) Exemption d’obligations substantielles, lorsque les informations sont traitées dans l’intérêt de la prévention, de la détection, de l’enquête et de la poursuite d’infractions ou de contraventions ou lorsqu’elles sont traitées par des cours ou des tribunaux dans l’exercice de fonctions judiciaires ; et

(c) Exemption de l’obtention du consentement lorsque les données personnelles sont traitées dans le cadre de la fourniture de services ou de prestations de l’État, de la délivrance de certificats, du respect de la loi, d’un jugement ou d’une ordonnance ou en cas de réponse à des urgences, des épidémies ou d’autres problèmes de sécurité publique.

Ces exemptions peuvent avoir pour effet de créer deux mondes de protection et de conformité, avec très peu de garanties fournies en cas de traitement de données par l’État. Il peut également protéger les programmes de surveillance de masse des agences gouvernementales, au nom de l’ordre public ou de la sécurité de l’État. Bien que l’accès à l’information pour des motifs similaires soit également autorisé en vertu des lois existantes, certaines garanties telles que la détermination de la validité des instructions par une autre autorité restent absentes ou peu claires.

Le projet de loi catégorise certaines plateformes de médias sociaux dépassant des seuils d’utilisateurs spécifiés et qui sont susceptibles d’avoir une influence démontrable sur des événements tels que les résultats des activités électorales, ou qui sont engagées dans la diffusion d’informations menaçant la sécurité ou l’ordre public, comme des dépositaires importants de données. Cela les soumet à des obligations plus strictes concernant la réalisation d’audits périodiques des données, les évaluations d’impact sur la protection des données et la tenue des dossiers, en plus d’offrir aux utilisateurs la possibilité de vérifier volontairement leurs comptes, avec un signe de vérification visible publiquement.

La commission, dans son rapport, a recommandé que les plates-formes qui n’agissent pas en tant qu’intermédiaires soient traitées comme des éditeurs et tenues responsables du contenu de leur plate-forme, en particulier du contenu publié par des utilisateurs « non vérifiés ». plateformes de médias sociaux plutôt que de forcer son intégration dans une législation sur la confidentialité des données.

Le rapport ne précise pas si des conformités supplémentaires seraient applicables aux plateformes de médias sociaux sur le traitement des données personnelles, telles que les restrictions sur le profilage et l’affichage ciblé des publications, la transmission de publications promotionnelles ou sponsorisées, l’autorisation de partager des données personnelles avec des processeurs et des agrégateurs de données, dans lequel de telles activités seraient basées sur le traitement de données personnelles. En outre, le rapport ne met pas en évidence les obligations résultant de ces activités et l’impact que ces activités de traitement peuvent avoir sur la catégorisation des plateformes en tant qu’intermédiaires ou éditeurs. Ces aspects peuvent créer des problèmes à des stades ultérieurs, en particulier dans le contexte de plateformes numériques offrant de multiples services.

Le projet de loi introduit des obligations de novo pour les transferts internationaux de données, avec des mandats de localisation, pour les données personnelles sensibles et une catégorie encore non définie de données personnelles critiques. Les transferts de données personnelles sensibles ont été conditionnés à des motifs spécifiques tels que des contrats, des programmes intra-groupe approuvés par la DPA et des conclusions d’adéquation, similaires au règlement général de l’UE sur la protection des données. En outre, le projet de loi exige le stockage d’une copie miroir des données personnelles sensibles en Inde, tandis que les données personnelles critiques ne peuvent être traitées qu’en Inde, à quelques exceptions près.

Le projet de loi introduit des obligations de déclaration des violations de données personnelles à la DPA dans un format prescrit dans les 72 heures suivant la prise de connaissance d’une telle violation. La DPA peut demander aux fiduciaires des données de prendre des mesures correctives, de faire les divulgations appropriées et même de signaler une telle violation directement aux responsables des données. Contrairement au projet de 2019, le projet de loi permet également à la DPA de prendre les mesures nécessaires en cas de violation de données non personnelles. Il a proposé que dans l’intérêt de la protection de la vie privée, en particulier dans les situations impliquant de grands ensembles de données mixtes, la DPA soit chargée de gérer la réglementation (et les violations) des données personnelles et non personnelles, et a proposé l’incorporation de dispositions pour réglementer les données non personnelles, au fur et à mesure une fois finalisé, dans le cadre du projet de loi lui-même.

En attendant une telle réglementation, le comité a permis au gouvernement d’élaborer des politiques pour le traitement des données non personnelles et anonymisées, tout en conservant la disposition litigieuse qui permet l’émission d’instructions pour solliciter ces données pour une prestation ciblée de services ou la formulation de politiques fondées sur des preuves. Il est proposé que ces orientations soient incluses dans le rapport annuel déposé devant le Parlement.

L’auteur est partenaire, Lakshmikumaran & Sridharan Attorney

Co-écrit avec Sameer Avasarala, Senior Associate, Lakshmikumaran & Sridharan Attorneys

