Le président indien Draupadi Murmu a donné vendredi son assentiment à la Projet de loi sur la protection des données personnelles numériques (DPDPB) après son adoption à l’unanimité par les deux chambres du parlement la semaine dernière, marquant une étape importante vers la sécurisation des informations des citoyens.
« Le projet de loi prévoit le traitement des données personnelles numériques d’une manière qui reconnaisse à la fois les droits des individus à protéger leurs données personnelles et la nécessité de traiter ces données personnelles à des fins licites et pour des questions qui y sont liées ou accessoires », a déclaré l’Indien. dit le gouvernement.
La loi tant attendue sur la protection des données intervient des mois après que le ministère de l’électronique et des technologies de l’information (MeitY) a publié une version préliminaire du projet de loi en novembre 2022. Elle est en préparation depuis plus de cinq ans, avec une première version publiée en juillet 2018. Un an auparavant, la Cour suprême de l’Inde avait confirmé la protection de la vie privée comme un droit fondamental.
Le cadre législatif, qui s’applique aux données personnelles collectées en ligne et hors ligne (puis numérisées) à l’intérieur et à l’extérieur de l’Inde, exige que les informations soient traitées « uniquement à des fins licites avec le consentement d’un individu » et ne stockent que ce qui est nécessaire à cette fin. défini.
Les demandes de consentement explicite des utilisateurs doivent être accompagnées ou précédées d’un avis informant de la finalité pour laquelle il est proposé de traiter les données personnelles. « Données personnelles » fait référence à « toute donnée concernant un individu qui est identifiable par ou en relation avec ces données ».
Le consentement n’est cependant pas requis pour « certaines utilisations légitimes » dans le cadre desquelles les plateformes peuvent traiter les données personnelles des utilisateurs lorsqu’elles sont fournies volontairement, par exemple en optant pour l’envoi de factures par e-mail. Il renonce également aux exigences de conformité pour certains fiduciaires de données, tels que les startups.
De plus, le traitement des données personnelles d’enfants âgés de moins de 18 ans ou d’une personne handicapée ayant un tuteur légal nécessite que les entreprises obtiennent le consentement vérifiable de leurs parents ou tuteurs.
« Le projet de loi n’autorise pas les traitements préjudiciables au bien-être des enfants ou impliquant leur suivi, la surveillance comportementale ou la publicité ciblée », a noté le gouvernement.
Cela dit, le consentement peut être exempté après examen de la question de savoir si une entité couverte prouve suffisamment que le traitement des données personnelles des enfants est effectué d’une manière jugée « vérifiablement sûre » par le gouvernement.
Les entités en charge des informations sont tenues de maintenir l’exactitude des données, de sécuriser les données et de supprimer les données une fois leur objectif atteint. Il accorde également aux utilisateurs le droit d’obtenir des informations, de demander la correction et l’effacement, et la réparation des griefs.
En outre, la loi DPDP prévoit la création d’un comité de protection des données (DPB) composé de membres nommés par le gouvernement pour examiner les plaintes, enquêter sur les violations de données et imposer des sanctions en fonction de la gravité, de la durée et du « caractère répétitif » des incidents.
« En cas de violation des données d’un citoyen, il lui suffit de visiter le site Web, de fournir des détails au conseil de protection des données, et le conseil ouvrira une enquête, imposant des sanctions aux plates-formes de violation », a déclaré le ministre de l’informatique Rajeev Chandrasekhar.
Les organisations qui abusent ou ne parviennent pas à protéger les données numériques des individus ou qui informent le DPB d’un piratage peuvent faire face à des amendes pouvant aller jusqu’à 250 crores ₹ (30,1 millions de dollars). Les décisions du conseil peuvent faire l’objet d’un recours auprès du Tribunal de règlement des différends et d’appel des télécommunications pour examen dans les 60 jours.
Dans ce qui est un assouplissement par rapport à la version précédente du projet de loi, les entreprises qui traitent des données personnelles peuvent désormais les transférer vers n’importe quel autre pays pour traitement, à moins que le gouvernement central n’ait explicitement interdit de tels transferts. Auparavant, les transferts de données transfrontaliers n’étaient autorisés que vers un ensemble spécifique de pays et de territoires.
Un point d’achoppement majeur est la large exemption accordée aux agences gouvernementales d’adhérer aux dispositions de la loi dans « l’intérêt de la prévention, de la détection, de l’enquête ou de la poursuite de toute infraction ou contravention à toute loi actuellement en vigueur en Inde ».
Nonobstant le manque d’autonomie du DPB, une grande partie de l’attention s’est concentrée sur les préoccupations selon lesquelles les exemptions pourraient potentiellement entraîner la collecte, le traitement et la conservation de données au-delà de ce qui est jugé nécessaire, facilitant ainsi potentiellement une surveillance de masse accrue et des invasions de la vie privée dirigées par le gouvernement. .
Une autre question tout aussi préoccupante est la capacité du gouvernement à restreindre l’accès à « toute information générée, transmise, reçue, stockée ou hébergée, dans n’importe quelle ressource informatique » dans l’intérêt du grand public, conduisant à « une censure effrénée des opinions dissidentes ».
« Dans sa forme actuelle, le DDPPB, 2023 ne protège pas suffisamment le droit à la vie privée et ne doit pas être promulgué », a déclaré l’Internet Freedom Foundation dans un communiqué. « Il ne répond pas à de nombreux problèmes de protection des données et met en place un régime pour faciliter les activités de traitement des données des acteurs publics et privés. »
