Le ministère indien de l’Électronique et des Technologies de l’Information a publié un projet de loi sur la protection des données personnelles.  Cette loi devrait considérablement modifier les règles existantes sur la protection des données personnelles, tant pour les entreprises indiennes que pour celles qui, bien qu’établies en dehors de l’Inde, ont des interactions avec le pays. Voici les grandes lignes du projet de loi.

Champ d’application large

Le projet de loi couvre :

  • Les acteurs publics et privés ;
  • Le traitement des données personnelles ;
  • Lorsque ces données sont utilisées, partagées, divulguées, collectées ou plus généralement traitées en Inde ;
  • Les entités qui traitent de telles données dans le cadre d’une activité exercée en Inde, indépendamment du lieu de leur établissement ;
  • Toute donnée personnelle collectée, utilisée, partagée, divulguée ou encore traitée par une personne morale indienne ou par un citoyen indien, que le traitement ait lieu ou non en Inde.

Exemptions

Quelques exemptions ont été prévues, notamment pour le traitement de données à des fins de recherche, archivage ou statistique, à des fins domestiques et à des fins journalistiques pour certains types d’organisations.

Principales dispositions

  • Le traitement de données personnelles doit être loyal et raisonnable et respecter la vie privée des individus.
  • Création d’une autorité de contrôle indienne indépendante ayant le pouvoir d’infliger des sanctions et de développer la réglementation.
  • De nouveaux droits pour les personnes concernées (« data principal »). Les personnes concernées disposeront de droits de confirmation et d’accès ainsi que de rectification. Le projet de loi vise à introduire un droit à l’oubli similaire à celui du RGPD, en vue de mettre fin à la publication de données personnelles dans certains cas.
  • De nouvelles obligations pour les « data fiduciaries » (qui sont semblables aux responsables de traitement mais pas identiques). Par exemple, les bases juridiques de traitement sont limitées à 6 et incluent le consentement préalable des individus (ce consentement devant être libre, éclairé, spécifique, exprès et pouvoir être retiré). En revanche, les bases légales n’incluent pas le traitement nécessaire à l’exécution d’un contrat. Les « data fiduciaries » doivent fournir des informations à la personne concernée au moment de la collecte des données personnelles, cette collecte devant avoir une finalité claire, spécifique et légitime. Des garanties renforcées s’appliqueraient au traitement des données de mineurs de 18 ans (et plus particulièrement des données sensibles).
  • Des règles pour le transfert international et l’hébergement en dehors de l’Inde. Les « data fiduciaries » sont tenus de conserver au moins une copie des données personnelles dans des bases de données en Inde. De plus certaines données personnelles dites « critiques » (« critical personal data ») ne peuvent être traitées et hébergées qu’en Inde, et n’être transférées en dehors de l’Inde que dans des situations d’urgence, comme par exemple dans le cadre de services de santé. Le transfert transfrontalier des données personnelles non sensibles peut être permis sur la base de clauses et obligations contractuelles, ou tel que spécifié par le gouvernement central indien. Certaines catégories de « data fiduciaries », qui ont une plus grande maîtrise des données, sont susceptibles d’être soumis à des obligations complémentaires, notamment des audits annuels et une obligation de désigner un DPO.
  • En cas de violation de données, le « data fiduciary » doit le notifier à l’Autorité de contrôle indienne dans un délai raisonnable, et, dans certains cas, selon la gravité de la violation, en informer les personnes concernées.
  • Des sanctions pouvant inclure des peines de prison dans le cas de violation qui crée un dommage significatif aux personnes concernées et des sanctions financières allant jusqu’à 4% du chiffre d’affaires mondial.
  • Le concept de « protection dès la conception » (« privacy by design ») à titre de mesure préventive. Pour ceux qui traitent des données présentant un risque de dommage significatifs, des systèmes d’indices de confiance (« data trust score ») ou analyses d’impact doivent être mis en place.

Calendrier de mise en œuvre

Le projet de loi remplacerait la réglementation existante en plusieurs étapes, étalées sur 18 mois, l’autorité de contrôle devant être mise en place dans 3 mois.

Impact

Le projet de loi doit apporter un nombre significatif de changements à la règlementation de protection des données en Inde.  Les responsables de traitement seront amenés à modifier leurs pratiques pour s’aligner sur les meilleures pratiques au niveau mondial dans ce domaine.

 

Lien vers la version originale de cet article, initialement publié en anglais par notre Indian Desk à Singapour :  www.squirepattonboggs.com/en/insights/publications/2018/09/personal-data-protection-in-india

Contact : stephanie.faber@squirepb.com