L’Inde a proposé une nouvelle loi complète sur la confidentialité des données qui obligera les entreprises à gérer les données de leurs citoyens, notamment en autorisant le transfert transfrontalier d’informations avec certains pays, trois mois après avoir brusquement retiré la proposition précédente à la suite d’un examen minutieux et des préoccupations des défenseurs de la vie privée et de la technologie. géants.
Le ministère de l’informatique du pays a publié vendredi un projet de règles proposées (PDF), appelé Digital Personal Data Protection Bill 2022, pour consultation publique. Il entendra les opinions du public jusqu’au 17 décembre.
« La présente loi a pour objet de prévoir le traitement des données personnelles numériques d’une manière qui reconnaisse à la fois le droit des personnes à protéger leurs données personnelles et la nécessité de traiter des données personnelles à des fins licites, et pour les questions qui y sont liées ou accessoires. « , dit le brouillon.
Le projet autorise les interactions transfrontalières des données avec « certains pays et territoires notifiés », ce qui est considéré comme une victoire pour les entreprises technologiques.
« Le gouvernement central peut, après une évaluation des facteurs qu’il juge nécessaires, notifier les pays ou territoires en dehors de l’Inde auxquels un fiduciaire de données peut transférer des données personnelles, conformément aux termes et conditions qui peuvent être spécifiés », le projet dit, sans nommer les pays.
Asia Internet Coalition, un groupe de pression qui représente Meta, Google, Amazon et de nombreuses autres entreprises technologiques, avait demandé à New Delhi d’autoriser le transfert transfrontalier de données. « Les décisions de transfert transfrontalier devraient être libres de toute ingérence de l’exécutif ou politique, et devraient idéalement être réglementées de manière minimale », ont-ils écrit dans une lettre au ministère de l’informatique plus tôt cette année.
«L’imposition de restrictions sur les flux de données transfrontaliers est susceptible d’entraîner des taux d’échec des entreprises plus élevés, d’introduire des obstacles pour les start-ups et de conduire à des offres de produits plus chères de la part des acteurs du marché existants. En fin de compte, les mandats ci-dessus affecteront l’inclusion numérique et la capacité des consommateurs indiens à accéder à un Internet véritablement mondial et à la qualité des services », avait déclaré le groupe.
La proposition vise également à donner à New Delhi (le gouvernement fédéral) le pouvoir d’exempter les gouvernements des États de la loi dans l’intérêt de la sécurité nationale.
Le projet propose également que les entreprises n’utilisent les données qu’elles ont collectées sur les utilisateurs que dans le but pour lequel elles les ont obtenues à l’origine. Il demande également aux entreprises de s’assurer qu’elles traitent les données personnelles des utilisateurs dans le but précis pour lequel elles les ont collectées.
Il demande également aux entreprises de ne pas stocker les données perpétuellement par défaut. « Le stockage doit être limité à la durée nécessaire à l’objectif déclaré pour lequel les données personnelles ont été collectées », indique une note du ministère.
Le projet propose une amende pouvant aller jusqu’à 30,6 millions de dollars dans le cas où une entreprise ne fournirait pas «des mesures de sécurité raisonnables pour empêcher la violation de données personnelles». Il y a une autre amende de 24,5 millions de dollars si l’entreprise ne notifie pas l’autorité locale et les utilisateurs pour non-divulgation d’une violation de données personnelles.
Les règles proposées précédemment ont été présentées pour aider à protéger les données personnelles des citoyens en les catégorisant en différents segments en fonction de leur nature, telles que sensibles ou critiques. Cependant, la nouvelle version ne sépare pas les données en tant que telles, selon le projet.
Semblable au GDPR européen et au CCPA (California Consumer Privacy Act) aux États-Unis, le projet de loi 2022 sur la protection des données personnelles numériques proposé par l’Inde s’appliquera aux entreprises opérant dans le pays et à toute entité traitant les données des citoyens indiens.
Les experts en politique publique ont salué la décision du gouvernement de réduire la proposition de ses versions précédentes – de plus de 90 clauses à 30. Cependant, ils pensent que réduire son texte apporterait une certaine ambiguïté.
Kazim Rizvi, défenseur de la politique numérique et directeur fondateur du groupe de réflexion sur la politique technologique basé à New Delhi, The Dialogue, a déclaré à TechCrunch que la suppression des dispositions relatives à la conclusion d’un protocole d’accord entre les régulateurs pour établir une coordination inter-réglementaire et omettre le mécanisme du bac à sable pour l’innovation des tests sont des domaines préoccupants.
«Étant donné que le projet de loi prévaudra sur les autres lois existantes et proposées en cas d’incohérence, cette priorité juridictionnelle est plus facile à dire qu’à mettre en œuvre dans le paysage réglementaire indien. Par conséquent, il est nécessaire d’adopter une approche plus structurée pour harmoniser les lois alliées existantes et proposées, comme un système de références croisées où les régulateurs sectoriels ou spécifiques à un domaine pourraient travailler avec la loi sur la protection numérique pour créer des réglementations », a-t-il déclaré.
Les règles proposées, qui devraient être discutées au parlement après consultation publique, n’apporteraient aucun changement à certaines lois controversées du pays qui ont été rédigées il y a plus de dix ans. New Delhi travaille cependant à la mise à jour de sa loi informatique vieille de deux décennies qui ferait ses débuts sous le nom de Digital India Act. Cela séparera les intermédiaires et constituera la fin du jeu, a déclaré le ministre d’État indien à l’informatique, Rajeev Chandrasekhar, à TechCrunch dans une récente interview.
En août, le gouvernement indien a retiré son précédent projet de loi sur la protection des données personnelles qui avait été dévoilé en 2019 après beaucoup d’anticipation et de pression judiciaire. À l’époque, le ministre indien de l’informatique, Ashwini Vaishnaw, avait déclaré que le retrait était considéré comme « présentant un nouveau projet de loi qui s’intègre dans le cadre juridique complet ».
Meta, Google et Amazon faisaient partie des entreprises qui avaient exprimé des inquiétudes au sujet de certaines des recommandations de la commission parlementaire mixte sur le projet de loi proposé.
La décision d’adopter une loi sur la protection des données est venue la vie privée a été déclarée comme un droit fondamental par la Cour suprême de l’Inde en 2017. Cependant, le pays a fait l’objet de vives critiques sur ses projets de loi antérieurs sur la protection des données en raison de leur nature intrinsèque d’accorder aux agences gouvernementales le pouvoir de accéder aux données des citoyens.
Lors de l’une des sessions du sommet du G-20 à Bali plus tôt cette semaine, le Premier ministre Narendra Modi a évoqué le principe des « données pour le développement » et a déclaré que le pays travaillerait avec les partenaires du G-20 pour apporter « la transformation numérique dans le la vie de chaque être humain » au cours de sa présidence de l’année prochaine pour les 19 pays composant le forum intergouvernemental.