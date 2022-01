Faits marquants et constats du projet de loi sur la protection des données 2021.

Par Pragni Kapadia

Une loi complète sur la protection des données pour l’Inde est en préparation depuis la recommandation de la Cour suprême en 2017. Deux versions préliminaires du projet de loi (2018 et 2019) ont été précédemment publiées pour consultation publique, après quoi le projet de loi sur la protection des données personnelles, 2019 (PDP Bill ) a été renvoyé à une commission parlementaire mixte (CPM). La CPM a présenté son rapport sur le projet de loi PDP au parlement le 16 décembre 2021 (Rapport). Alors que le rapport a été adopté par les membres de la CPM, huit membres ont soumis des notes dissidentes sur certains aspects du droit.

Le rapport recommande plusieurs amendements au projet de loi PDP, le plus extraordinaire étant de réglementer la collecte et le traitement des données personnelles et non personnelles (NPD) entraînant un changement de titre au projet de loi sur la protection des données, 2021 (DPB). Les lois sur la protection des données dans le monde ne réglementent normalement que les données personnelles.

Le DPB, entre autres (a) vise à couvrir les données personnelles (PD), les données personnelles sensibles (SPD), les données personnelles critiques (CPD), les données personnelles anonymisées et les NPD ; (b) a une portée transfrontalière et s’applique aux entités situées en dehors de l’Inde si elles ont un lien commercial avec l’Inde ou effectuent le profilage d’individus en Inde ; et (c) exige qu’une autorité de protection des données pour traiter à la fois les PD et les NPD soit mise en place. Des repères de conformité plus élevés sont prescrits pour le SPD et le CPD (qui sont des sous-ensembles du PD). Les normes de localisation des données (c’est-à-dire le stockage des données en Inde) sont strictes en ce qui concerne les DPC dans l’intérêt de la sécurité nationale et de l’application de la loi. Étant donné que les données sont stockées dans des ensembles de données mixtes, la séparation des données pour la localisation pourrait s’avérer un défi entraînant la localisation à la fois du SPD et du CPD. Le transfert transfrontalier de données nécessite également des autorisations et sera fastidieux.

Peu d’éléments de la CPM sont les bienvenus, tels que (a) accorder de l’importance à la notification aux principaux des données par les sous-traitants/fiduciaires des données couplée au consentement éclairé des principaux des données ; (b) restriction de l’utilisation des données des employés par les employeurs ; (c) des règles de conservation des données spécifiant que les données ne peuvent être conservées que jusqu’à ce qu’elles satisfassent à la finalité pour laquelle elles sont traitées et devraient être supprimées à la fin de cette période ; et (d) signaler les failles de sécurité pour PD et NPD dans les 72 heures au DPA. On ne sait pas exactement comment la DPA se coordonnera avec les agences spécialisées telles que l’équipe d’intervention en cas d’urgence informatique et le ministère de l’Électronique et des technologies de l’information, les tests de normalisation et la certification de la qualité. Un délai de deux ans a été prévu pour la mise en œuvre des dispositions du DPB, ce qui est un soulagement pour toutes les parties prenantes. Des normes strictes pour les données des enfants ont été introduites concernant la date des mineurs (c’est-à-dire, moins de 18 ans), y compris le consentement des parents/tuteurs ; vérification de toutes les données des enfants et interdiction du profilage / suivi des données des enfants, etc. Cependant, certains aspects de ces dispositions peuvent avoir un impact contre-intuitif, en particulier pour les sociétés de jeux / IA liées à l’ED-tech et à l’éducation où il est essentiel d’utiliser les données des enfants pour suivre les progrès d’un enfant. La nomination d’un responsable de la protection des données de C-Suite introduit une responsabilité plus élevée par opposition aux employés de bas niveau avec des responsabilités moindres et un processus de règlement des griefs a également été introduit. Cependant, un directeur général, un PDG ou un directeur financier peut ne pas disposer de la bande passante pour gérer ces problèmes eux-mêmes, il est donc difficile de savoir comment cela sera mis en œuvre.

Dans le but d’accorder aux utilisateurs plus de contrôle sur leurs données, le DPB introduit une disposition relative à la portabilité des données, selon laquelle les principaux responsables des données peuvent demander au fiduciaire des données leurs données personnelles dans un format couramment utilisé et lisible par machine. Des dérogations ont été prévues pour les cas où (a) le traitement des données n’est pas automatisé ; (b) lorsque le traitement est nécessaire au respect de la loi, à une ordonnance d’un tribunal ou à une fonction de l’État ; et de manière significative, (c) lorsque le respect de la demande est techniquement impossible. L’exemption du projet de loi PDP pour la portabilité des données révélant des secrets commerciaux a été omise de cette version de la loi. Certains éléments concernant la portabilité des données devraient être précisés dans la version finale du DPB, tels que (a) la propriété intellectuelle des données transférées ; (b) si les données générées incluraient des données dérivées (ce qui peut s’avérer un défi pour les entreprises numériques devant partager des données analytiques) et d’autres problèmes pratiques tels que le format des données, etc.

Il est intéressant de noter que le droit à l’oubli, également reconnu par plusieurs hautes cours en Inde, semble avoir été dilué car le fiduciaire des données a été doté (a) de la possibilité de rejeter la demande d’effacement des informations du principal des données ; et (b) certaines exemptions pour conserver, utiliser et traiter ces données.

Certaines facettes du DPB semblent aller à l’encontre de l’intention principale de la loi – la protection du PD/SPD et du CPD. Le consentement est au cœur de toute loi sur la protection des données. Il y a un élargissement des pouvoirs et des exemptions de l’État et la portée de l’article 12 du DPB, qui autorisait auparavant le traitement des données à caractère personnel sans consentement pour l’exercice des fonctions de l’État pour deux motifs seulement : (i) la fourniture de services ou d’avantages et (ii) la délivrance de certifications, de licences ou de permis – a été étendue de manière inoffensive par l’insertion du mot « y compris », pour suggérer maintenant que ces deux catégories ne sont qu’une illustration des nombreux autres motifs pour lesquels le gouvernement pourrait collecter des données sans consentement . L’article 35 du DPB ajoute que le gouvernement a le pouvoir d’exempter tout organisme gouvernemental de tout ou partie des dispositions du DPB au nom de la souveraineté, de la sécurité de l’État, etc., ce qui a suscité la dissidence des membres du comité au motif que le gouvernement dispose d’un large pouvoir discrétionnaire pour accéder à PD / NPD sans le consentement des principaux responsables des données. Le gouvernement a reçu le pouvoir d’ordonner que l’anonymat / NPD soit partagé par toute entité avec le gouvernement, dans certaines circonstances. Le gouvernement a également eu la possibilité d’élaborer une politique sur la réglementation du NPD, y compris des données anonymisées. Le rapport semble mettre l’accent sur la protection à la fois de la souveraineté nationale et des intérêts commerciaux du pays, ce qui n’est pas un fil conducteur avec les régimes mondiaux de protection des données.

Dans la même veine que les règles de 2021 sur les technologies de l’information (directives intermédiaires et code d’éthique des médias numériques), le champ d’application du DPB semble s’étendre au-delà du cadre de la protection des données nécessitant un débat sain dans les chambres du parlement sur son introduction. Par exemple, (a) l’extension globale consistant à faire des intermédiaires de médias sociaux des éditeurs de données dans certains cas où ils perdent leur immunité en tant que simples hôtes de contenu ; (b) l’exigence pour les plateformes de médias sociaux opérant en Inde d’avoir des bureaux locaux ; et (c) la mise en place d’une autorité statutaire de régulation des médias. En outre, la recommandation selon laquelle un cadre doit être établi pour la surveillance, les tests et la certification des dispositifs matériels – une disposition qui n’est généralement pas incluse dans les lois sur la protection des données dans le monde entier.

Le DPB prévoit une indemnisation civile des fiduciaires / sous-traitants des données pour toute violation de toute loi qui pourrait conduire à un flux de litiges en matière de protection des données. En outre, le DPB prévoit des sanctions financières telles que des amendes (jusqu’à 4% du chiffre d’affaires mondial) et des sanctions pénales dans le cas limité de la désidentification non autorisée des données.

Le DPB n’est qu’un projet de loi et n’a pas encore été déposé en tant que projet de loi pour examen par le parlement. Les recommandations de la JPC ne sont pas contraignantes pour le gouvernement et le DPB peut être déposé au parlement sous sa forme actuelle ou subir des modifications ultérieures – pour l’instant, il suffit d’attendre et de regarder !

(L’auteur est conseiller principal, Lumiere Law Partners. Les opinions sont personnelles et pas nécessairement celles de FinancialExpress.com)

