Cette année, l’Inde devrait devenir la dernière grande économie à introduire une loi complète sur la confidentialité des données.
Jusqu’à présent, les données personnelles de la population indienne de 1,4 milliard d’habitants étaient protégées par la Loi informatique de 2000.
Bien que la loi ait été modifiée à plusieurs reprises depuis, il existe un consensus dans les secteurs public et privé sur le fait que l’Inde a désormais besoin d’une législation spécifique sur la confidentialité des données personnelles.
De plus, les autorités indiennes souhaitent aligner la loi sur la protection des données du pays sur les meilleures pratiques internationales, avec le règlement général sur la protection des données (RGPD) de l’Union européenne comme modèle privilégié.
La nouvelle loi est actuellement examinée par un comité mixte au parlement indien, la législation complète devant être mise en œuvre dans les deux prochaines années.
Qu’est-ce que la loi sur la confidentialité des données personnelles ?
Tant l’IT Act que l’Inde Pratiques et procédures de sécurité raisonnables et règles relatives aux données ou informations personnelles sensibles 2011 (PDF), sont désormais relativement dépassés, en particulier par rapport à la législation « gold standard » sur la protection des données telle que le RGPD.
Les législateurs indiens estiment que les lois existantes désavantagent la nation sur le plan international et n’ont pas réussi à suivre des développements tels que la numérisation du commerce et des services et la croissance des médias sociaux.
« Le projet de loi indien sur la protection des données personnelles (PDPB) est une proposition du comité Srikrishna visant à moderniser les lois qui régissent les données personnelles en Inde », a déclaré Nader Henein, analyste vice-président du cabinet de recherche Gartner, au Daily Swig.
« Même si l’Inde reconnaît le droit à la vie privée dans sa constitution et qu’il y a eu quelques amendements à la loi sur les technologies de l’information (2000) qui offrent des protections contre la mauvaise gestion des informations personnelles, il n’y a pas de loi unifiée sur la confidentialité en place aujourd’hui. »
Le processus de réforme a commencé en 2017, lorsqu’un décision de la Cour suprême de l’Inde a déclaré que la vie privée était un droit fondamental en vertu de la constitution.
En 2018, le tribunal a demandé au gouvernement de créer des règles de protection des données plus strictes, et le PDP a été adopté pour la première fois par le Parlement indien en 2019.
« Tant l’industrie que le gouvernement ont estimé que l’absence de loi conçue pour fournir des protections de la vie privée était préjudiciable sur la scène internationale et en Inde également », déclare RV Raghu, directeur de Versatilist Consulting India et membre du groupe de travail sur les tendances émergentes de l’ISACA.
« Il y a un accord à la fois dans le secteur public et privé sur le besoin de lois telles que le PDP qui traitent de la protection des données personnelles. »
Le projet de loi indien sur la confidentialité des données devrait être mis en œuvre en 2022
Quand le projet de loi indien sur la confidentialité des données sera-t-il mis en œuvre ?
Pour le moment, ce n’est pas tout à fait clair. Une commission parlementaire mixte examine la législation de 2019 et a formulé des recommandations de changement, notamment la création d’une autorité de protection des données (DPA) pour les données personnelles et non personnelles, une période de 72 heures pour les divulgations de violation et des sanctions potentielles s’élevant à 4% de le chiffre d’affaires global d’une entreprise.
La commission parlementaire mixte a également fixé des délais de mise en œuvre : l’Autorité de protection des données devrait être active dans les six mois, l’enregistrement des « fiduciaires de données » dans les neuf mois et toutes les dispositions du projet de loi devant être mises en œuvre dans les 24 mois.
Cependant, même cela n’est pas figé – RV Raghu souligne que le calendrier ne sera clair qu’une fois que les recommandations de la commission mixte auront été votées par le Parlement.
L’élaboration du projet de loi a également été complexe. Henein de Gartner note : « Une première ébauche a été introduite en 2018, [and] un nouveau projet révisé a émergé en 2019, qui a ensuite été fortement modifié par le comité.
« Nous n’avons pas encore vu la dernière itération, mais il y a eu de très fortes indications qu’elle pourrait être mise aux voix lors de la session d’hiver au Parlement, actuellement en session. »
Comment la nouvelle loi fonctionnera-t-elle ?
Les législateurs espèrent que le PDP mettra les lois indiennes sur un pied d’égalité avec celles des marchés développés, en particulier l’UE, le Royaume-Uni et les États-Unis. Le PDP s’inspire clairement du GDPR comme point de départ avec des fonctionnalités similaires à la mise en œuvre de l’Autorité de protection des données, aux règles de divulgation des violations et au régime de sanctions.
« Cela garantira que l’Inde dispose d’un ensemble standard de règles et de réglementations en matière de protection et de gouvernance des données », a déclaré Deepak Naik, vice-président de la société de cybersécurité Qualys. La gorgée quotidienne. C’est délibéré, dit-il.
« Il existe des synergies avec ces normes mondiales telles que le RGPD qui contribueront à une approche lift-and-shift pour les entreprises mondiales de l’informatique et des médias sociaux sans craindre aucune action réglementaire.
« Il n’y aura pas le même lourd fardeau de personnalisation locale qui doit avoir lieu pour les autres grands marchés comme la Chine, la Russie ou le Brésil. »
A NE PAS MANQUER Le chômage des jeunes risque d’alimenter le boom de la cybercriminalité en Inde
Il existe cependant certaines différences que les organisations en Inde, ou celles qui commercent avec l’Inde, devront prendre en compte.
La DPA, par exemple, n’est pas indépendante, comme le sont les bureaux de protection des données dans certaines économies concurrentes. Au lieu de cela, ses membres seront choisis par le gouvernement indien.
Les organisations considérées comme des fiduciaires de données « importants » devront faire auditer leurs processus de traitement des données chaque année – ces auditeurs seront sélectionnés à partir d’une liste approuvée par le gouvernement.
Du point de vue du citoyen, les individus ont un droit d’accès à leurs données et le droit de faire supprimer les enregistrements. Ils n’ont pas, actuellement, le droit de ne pas être profilés comme ils le font en vertu du RGPD ou de la loi britannique sur la protection des données.
Et exceptionnellement, selon RV Raghu, la loi obligera la DPA à créer un bac à sable (de confidentialité) pour les entreprises travaillant avec l’IA, l’apprentissage automatique et d’autres technologies émergentes.
Quel sera l’impact du PDP sur les entreprises ?
L’impact du projet de loi PDP sur les organisations internationales qui se conforment déjà à des réglementations telles que le RGPD devrait être minime. Les autorités indiennes ont délibérément cherché à éviter une localisation excessive.
Pour les entreprises basées en Inde, le respect des exigences du PDP les mettra en conformité avec les meilleures pratiques internationales en matière de protection des données.
Malgré tout, il existe certains éléments nationaux de la législation dont toutes les organisations doivent être conscientes.
D’abord et avant tout, il y a l’exigence d’audits indépendants approuvés par la DPA. Pour l’instant, on ne sait pas quelles organisations devront le faire, bien qu’il soit probable que les grandes organisations et celles qui traitent des volumes importants de données devront s’y conformer.
Deuxièmement, les exigences de localisation des données précisent qu’une copie des données est conservée en Inde ou, pour les données critiques, qu’elle ne quitte pas du tout l’Inde. Ces règles devraient devenir plus claires à mesure que la mise en œuvre du projet de loi PDP se rapproche.
Les entreprises de médias sociaux devront également se conformer à une clause obligeant leurs utilisateurs à vérifier leur identité. Encore une fois, la façon exacte dont cette clause fonctionnera n’est pas encore claire.
« Sur une note positive, les géants de l’informatique et des médias sociaux auront désormais la confiance nécessaire pour héberger leurs services mondiaux en Inde plutôt qu’à l’extérieur du pays », note Deepak Naik de Qualys. « Ils pourront déployer un cadre de conformité similaire ou équivalent aux pays desservis. »
Comment les entreprises peuvent-elles garantir la conformité ?
La conformité dépendra du fait que les organisations connaissent leurs applications et leurs systèmes informatiques, où elles collectent et traitent les données, et pourquoi.
« Pour y parvenir, les entreprises devront connaître l’ensemble de leur infrastructure, être en mesure de définir leurs déploiements de sécurité et de maintenir cette infrastructure à jour et sécurisée dans le temps », déclare Deepak Naik de Qualys.
L’expert ISACA RV Raghu est d’accord. « Les entreprises doivent commencer par les bases telles que la clarté sur les données qui sont collectées et pourquoi, comment les données sont traitées et qui y a accès », dit-il.
